【漏洞要補】雲驗證配置失誤 Android應用程式恐洩數百萬用戶數據
果然危機隨時都會出現!有分析 Android 應用程式的研究人員發現,嚴重的雲配置錯誤,引致潛在超過 1 億用戶數據洩露,證明惡意的應用程式入侵,不是手機上唯一的安全問題,配置錯誤都令用戶面臨極大風險!
網絡安全公司 Check Point Research (CPR)週四發布一份報告表示,23 個受歡迎的應用程式包含各種「第三方雲服務的錯誤配置」。現時線上服務和應用程式都已使用雲服務,疫情進一步推進遙距工作模式。雲端上作管理、存取和處理數據都非常方便,但一次存取或授權出錯就有機會造成資料公開或洩漏紀錄。由其是應用程式多以實時數據庫集成,需在跨平台存取和同步數據,但某些在今次檢查的應用程式的開發人員,無法確保身份驗證機制有正確配置。
CPR 的調查中所檢查的 23 個 Android 應用程式,包括的士召喚應用程式、徽標製作、屏幕記錄器、傳真服務和占星軟件,需當中所洩漏的數據,則包括電子郵件記錄、聊天訊息、位置訊息、用戶 ID、密碼和圖像。其中 13 個例子是敏感數據存放在不安全而且是公開的雲設置,這些應用程式的下載量介乎 10,000 到 1,000 萬。
團隊在研究的士召喚應用程式時,能夠以一個簡單的請求,直接發送到應用程式的數據庫,並獲得司機和顧客之間的訊息,包括姓名、電話號碼以及接送地點。而屏幕記錄器、傳真服務應用程式的後台數據管理的雲服務,亦沒有得到足夠保護,CPR 團隊能夠透過分析應用程式的文件來恢復密鑰,以授予對存取錄音和傳真文檔的訪問權限。
而應用程式中的推送通知鍵,也很容易被濫用。黑客如果利用了推送服務就能向應用程式用戶發送惡意警報。
研究人員表示,這些安全問題會發生,是因為開發人員未有實行以最佳方法將第三方雲服務配置和集成數據至應用程式時所引致。CPR提到,對實時數據庫作錯誤配置並非新鮮事,但問題的影響範圍太廣泛,更令數百萬用戶受影響,如果黑客獲得對這些數據的訪問權限,則有可能導致欺詐和身份盜用。CPR 已將問題通知應用程式開發人員相關錯誤配置,其中一些應用程式已加強改善。