Kun Apple ilmoitti, että sen mobiililaitteet käyttävät sovelluskauppaa tapana asentaa ohjelmistoja, monet uskoivat, että tämä lopettaa suuren osan turvallisuusongelmista laskenta. Google hyväksyi saman mallin Androidille ja Microsoft toi sen työpöydälle Windows 8: ssa.
Itse asiassa Steve Jobsin idea ei ollut uusi. Sovelluskaupat eivät ole muuta kuin pakettien hallinta, jota Linux-käyttäjät ovat käyttäneet vuosia. Y, se ei ole, että se olisi palvellut liikaa.
Joitakin päiviä sitten, Julkaistiin raportti tutkijaryhmästä, joka analysoi 515,735 18 Google Play -sovellusta, mikä on noin XNUMX% tarjolla olevasta tarjouksesta. Näistä ainakin 4.282 sovelluksella oli turvallisuusongelmia mikä mahdollistaisi arkaluonteisten tietojen suodattamisen. Jos ekstrapolointi olisi pätevä, yhteensä 24000 hakemusta aiheuttaisi saman ongelman.
Kaikilla epäonnistumisilla on yhteinen alkuperä; Googlen omistama alusta nimeltä Firebase. Mutta se ei näytä olevan Googlen vika, jos ei kehittäjien määritysvirheet.
Firebase on mobiilialusta, joka auttaa käyttäjiä kehittämään sovelluksia nopeasti ja turvallisesti. Se tarjoaa reaaliaikaisen, pilvessä isännöidyn tietokannan, joka mahdollistaa tietojen helpon tallennuksen ja synkronoinnin käyttäjien välillä.
Alusta tarjoaa kehittäjille muun muassa työkaluja:
- Todennus.
- Majoitus.
- Pilvivarasto.
- Reaaliaikaiset tietokannat.
- Analytics.
- Viestit.
- Ilmoitusten integrointi.
- Koneoppiminen.
Firebasen arvioidaan olevan käyttää 30 prosenttia kaikista Google Play -kaupan sovelluksista, mikä tekee siitä suosituimman tallennusratkaisun Android-sovelluksille.
Android-sovellusten suojaus. Numeroiden ongelma
4,8% mobiilisovelluksista jotka käyttävät Google Firebasea käyttäjätietojen tallentamiseen, ei ole suojattu kunnolla, mikä ssallii kenenkään käyttää tietokantoja, jotka sisältävät käyttäjien henkilökohtaisia tietoja, käyttää tunnuksia ja muita tietoja ilman salasanaa tai muun tyyppistä todennusta.
Vaikka tutkimus keskittyi Android-sovelluksiin Google Play Kaupassa, Muista, että Firebase on alustojen välinen työkalu, jota käytetään eri käyttöjärjestelmissä ja alustoissa. Nämä väärät määritykset vaikuttavat todennäköisesti moniin muihin sovelluksiin Androidin ulkopuolella.
Tutkijoiden tunnistamat sovellukset, joilla on turvallisuusongelmia Android-käyttäjät ovat asentaneet vähintään 4.220 miljardia kertaa. Älypuhelimessa tiedetään olevan asennettuna 60-90 sovellusta, mikä tarkoittaa sitä jokaisella meistä on suuret mahdollisuudet saada ainakin yksi haavoittuva sovellus.
Saada näyte altistusten suuruudesta meillä on nämä tiedot:
- +7000000 sähköpostitiliä.
- +4400000 käyttäjänimeä.
- +1000000 salasanaa.
- +5300000 puhelinnumeroa.
- +18300000 käyttäjien täydelliset nimet.
- + 6800000 chat-viestiä.
- +6200000 GPS-tietoa.
- +156000 IP-osoitetta.
- +560000 katuosoitetta.
Analysoiduista 155.066 1 hakemuksesta XNUMX1.730: lla oli julkisesti altistettuja tietokantoja. Niistä jopa 9.014 XNUMX kirjoitus, jonka avulla hyökkääjä voi lisätä, muokata tai poistaa tietoja palvelimelta sekä tarkastella ja ladata niitä.
- Nämä haavoittuvuudet antaisivat kyberrikollisille mahdollisuuden.
- Pistä tiedot sovellukseen.
- Käytä sovelluksia phishing-käytäntöihin.
- Levitä haittaohjelma.
- Vioi sovellustietokannan.
Rikollisten asioiden helpottamiseksi nämä tietokannat löytyvät hakukoneista
Viime joulukuussa tietoturvatutkija huomasi, että paljastetut Google Firebase -tietokannat löytyvät muiden yritysten ylläpitämistä hakukoneista.
Alex "Ghostlulz" Thomas, riippumaton turvallisuustutkija ja entinen analyytikko kyberturvallisuuskonsultointiyrityksessä Bishop Fox, julkaisi joulukuussa blogikirjoituksen, joka osoitti kuinka konfiguroidut Firebird-tietokannat voitiin löytää ja ladata. Lisää vain .json URL-osoitteen loppuun nähdäksesi ne.
Käyttäjinä voimme toteuttaa joitain toimenpiteitä suojellaksemme itseämme:
- Älä käytä samaa salasanaa uudelleen useilla tileillä. Vahvojen satunnaisten salasanojen luomiseen ja tallentamiseen on suositeltavaa käyttää salasanojen hallintaa.
- Käytä vain luotettavia sovelluksia, joissa on paljon korjauksia ja asennuksia.
- Älä jaa arkaluonteisia henkilökohtaisia tietoja, kuten osoitteita, valtion tunnuskuvia, sosiaaliturvatunnuksia jne.