來源:CSDN
應(yīng)用軟件泄露用戶數(shù)據(jù)早已是個屢見不鮮的話題,但每每提起,還是不得不感慨其中難以防范的危險,尤其是當(dāng)影響范圍過大、自己也可能是 " 受害者 " 時。
昨日,網(wǎng)絡(luò)安全公司 Check Point Research(以下簡稱 CPR)發(fā)布了一份報告:由于開發(fā)者沒有正確配置第三方云服務(wù),部分流行的 Android 應(yīng)用泄露了超過 1 億用戶的個人數(shù)據(jù)。
多種錯誤配置
CPR 團(tuán)隊表示,通過對 23 款應(yīng)用進(jìn)行測試,他們發(fā)現(xiàn)可以從多種錯誤配置的云服務(wù)入手,獲取用戶個人數(shù)據(jù)以及開發(fā)者的內(nèi)部資源。
實(shí)時數(shù)據(jù)庫
實(shí)時數(shù)據(jù)庫允許應(yīng)用開發(fā)者將數(shù)據(jù)存儲在云中,以確保數(shù)據(jù)實(shí)時同步到每個連接的客戶端。一般情況下開發(fā)者為保護(hù)數(shù)據(jù)隱私,都會涉及一個基本功能——通過身份驗(yàn)證才能配置實(shí)時數(shù)據(jù)庫。
可就是這樣的一般情況,許多流行應(yīng)用都沒有做到。
經(jīng)過嘗試,CPR 發(fā)現(xiàn)可以從應(yīng)用的公共數(shù)據(jù)庫中恢復(fù)許多用戶的私密信息,包括電子郵箱、密碼、聊天記錄、設(shè)備位置等。由此,CPR 推測,一旦惡意攻擊者訪問到這些數(shù)據(jù),很有可能用來進(jìn)行欺詐、盜號等行為。
從 Astro Guru 中,CPR 可以獲取用戶的姓名、出生日期、性別、位置、電子郵件和付款明細(xì);從 T'Leva 中,可以獲取用戶全名、電話號碼、位置(目的地和出發(fā)地)和與司機(jī)之間的聊天記錄。
(CPR 從 Astro Guru 中獲取的用戶信息)
推送通知
推送通知想必大家都不陌生,開發(fā)者通過發(fā)送推送通知與用戶進(jìn)行互動,這也是應(yīng)用中使用最廣泛的服務(wù)之一。一般情況下,推送通知服務(wù)都需要起碼一個密鑰來識別開發(fā)者身份。
然而,這個一般情況也有部分應(yīng)用沒有實(shí)現(xiàn)。CPR 發(fā)現(xiàn),有開發(fā)者僅僅是將密鑰嵌入到應(yīng)用文件本身,即密鑰就已失去了識別身份的意義。
雖然相較實(shí)時數(shù)據(jù)庫泄露的數(shù)據(jù),推送通知配置不當(dāng)并沒有直接損害用戶信息,但如果有惡意份子通過假冒開發(fā)者身份,向用戶推送一個看似官方的惡意網(wǎng)址,一旦上當(dāng),遭殃的還是用戶。
云存儲
云存儲,一種網(wǎng)上在線存儲的模式,即把數(shù)據(jù)存放在通常由第三方托管的多臺虛擬服務(wù)器中,目前許多應(yīng)用采取的都是這種方式。原本這是一種便捷的功能,可有部分開發(fā)者卻將云存儲密鑰直接嵌入應(yīng)用程序的代碼中。
明知故犯的應(yīng)用開發(fā)者
以上這些問題雖然并不是什么新奇的應(yīng)用漏洞,但歸根結(jié)底,這是應(yīng)用開發(fā)者的疏漏。另外,CPR 在分析了幾十個案例后,發(fā)現(xiàn)其中許多開發(fā)者是明知故犯,即明明知道在應(yīng)用代碼中嵌入云服務(wù)密鑰不可取,卻還是這樣做了。
出于安全考慮,除了在分析中明確指出的 5 款應(yīng)用,CPR 團(tuán)隊并沒有將這 23 款應(yīng)用的名稱全部披露。而那 5 款應(yīng)用在被正式寫入報告之前,CPR 也與其應(yīng)用制造商進(jìn)行了溝通,其中部分已經(jīng)進(jìn)行了更新并修復(fù)了相關(guān)問題:" 一些應(yīng)用程序已更改其配置。"
不過 CPR 也補(bǔ)充道,盡管與這些應(yīng)用方都同步了漏洞所在,但許多應(yīng)用還是沒有進(jìn)行改進(jìn)。此外,這 23 款應(yīng)用,對于擁有數(shù)百萬應(yīng)用的 Google Play 而言不過是微不可見的角落,可見由于云服務(wù)配置不當(dāng)導(dǎo)致用戶數(shù)據(jù)泄露的應(yīng)用比想象中還要普遍。
