Безопасность приложений Android. По крайней мере, 4000 могут привести к утечке данных

Diego Germán GonzálezОбновлено на

Нет комментариев

Когда Apple объявила, что ее мобильные устройства будут использовать магазин приложений для установки программного обеспечения, многие считали, что это положит конец большей части проблем с безопасностью вычисления. Google адаптировал ту же модель для Android, а Microsoft вывела ее на рабочий стол в Windows 8.

На самом деле идея Стива Джобса не была новой. Хранилища приложений - это не что иное, как менеджеры пакетов, которые пользователи Linux используют в течение многих лет. Y, дело не в том, что он послужил слишком много.

Несколько дней тому назад, Был опубликован отчет группы исследователей, которые проанализировали 515,735 18 приложений Google Play, что-то около XNUMX% от доступного предложения. Из тех, не менее 4.282 приложений имели проблемы с безопасностью это позволит фильтровать конфиденциальную информацию. Если экстраполяция верна, в общей сложности 24000 приложений будут представлять ту же проблему.

Все недостатки есть общее происхождение; платформа, принадлежащая Google, называется Firebase. Но, похоже, Google не виноват, если не ошибки конфигурации разработчиками.

Firebase - это мобильная платформа, которая помогает пользователям разрабатывать приложения быстро и безопасно. Он предлагает базу данных в реальном времени, размещенную в облаке, что позволяет легко хранить и синхронизировать данные между пользователями.
Помимо прочего, платформа предоставляет разработчикам инструменты для:

  • Аутентификация.
  • Размещение в гостинице.
  • Облачное хранилище.
  • Базы данных в реальном времени.
  • Аналитика.
  • Сообщения.
  • Интеграция уведомлений.
  • Машинное обучение.

По оценкам, Firebase используется 30 процентами всех приложений в магазине Google Play, что делает его самым популярным хранилищем для приложений Android.

Безопасность приложений Android. Проблема в цифрах

4,8% мобильных приложений которые используют Google Firebase для хранения пользовательских данных, не защищены должным образом, чтопозволяет любому получить доступ к базам данных, которые содержат личную информацию пользователей, чтобы получить доступ к токенам и другим данным без необходимости ввода пароля или любого другого типа аутентификации.

Хотя исследование было сосредоточено на приложениях Android в магазине Google Play, Имейте в виду, что Firebase - это кроссплатформенный инструмент, который используется в различных операционных системах и платформах. Эти неправильные конфигурации, вероятно, повлияют на многие другие приложения, помимо Android.

Приложения с проблемами безопасности, выявленными исследователями установлено не менее 4.220 миллиарда раз пользователями Android. Известно, что на смартфоне установлено от 60 до 90 приложений, что означает, что у каждого из нас высок шанс иметь хотя бы одно уязвимое приложение.

Чтобы получить представление о величине облучения, у нас есть следующие данные:

  • +7000000 почтовых ящиков.
  • +4400000 имен пользователей.
  • +1000000 паролей.
  • +5300000 номеров телефонов.
  • +18300000 полных имен пользователей.
  • +6800000 XNUMX XNUMX сообщений в чате.
  • +6200000 данных GPS.
  • +156000 IP-адресов.
  • +560000 почтовых адресов.

Из 155.066 1 проанализированных приложений XNUMX1.730 9.014 человек имели общедоступные базы данных. XNUMX из них даже включены write, что позволит злоумышленнику добавлять, изменять или удалять данные с сервера, а также просматривать и загружать их.

  • Эти уязвимости позволили бы киберпреступникам.
  • Внедрить данные в приложение.
  • Используйте приложения для фишинга.
  • Распространяйте вредоносное ПО.
  • Повредить базу данных приложения.

Чтобы преступникам было легче, эти базы данных можно найти в поисковых системах

В декабре прошлого года исследователь безопасности обнаружил, что открытые базы данных Google Firebase можно найти в поисковых системах других компаний.

Алекс «Ghostlulz» Томас, независимый исследователь безопасности и бывший аналитик консалтинговой фирмы Bishop Fox, опубликовал в блоге сообщение, демонстрирующее как можно найти и загрузить наиболее настроенные базы данных Firebird. Просто добавьте .json в конце URL-адреса, чтобы увидеть их.

Как пользователи, мы можем принять некоторые меры, чтобы защитить себя:

  • Не используйте повторно один и тот же пароль для нескольких учетных записей. Рекомендуется использовать менеджер паролей для создания и хранения надежных случайных паролей.
  • Используйте только проверенные приложения с большим количеством исправлений и установок.
  • Не передавайте конфиденциальную личную информацию, такую ​​как адреса, фотографии, удостоверяющие личность правительства, номера социального страхования и т. Д.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.