23个Android应用程序公开了超过1亿用户的个人数据

　　多个Android应用程序中的错误配置泄漏了超过1亿用户的敏感数据，这可能使它们成为恶意行为者的丰厚目标。

　　Check Point研究人员在今天发布的一份分析报告中表示，“在将第三方云服务配置和集成到应用程序中时，如果不遵循最佳实践，就会暴露数百万用户的私人数据。”

　　“在某些情况下，这种类型的滥用只会影响用户，但是，开发人员也容易受到攻击。错误的配置使用户的个人数据和开发人员的内部资源(如访问更新机制，存储等)面临风险。”

　　调查结果来自对官方Google Play商店中提供的23种Android应用程序的检查，其中一些下载量从10,000到1,000万不等，例如Astro Guru，iFax，Logo Maker，Screen Recorder和T'Leva。

　　据Check Point称，这些问题源于对实时数据库，推送通知和云存储密钥的错误配置，导致电子邮件，电话号码，聊天消息，位置，密码，备份，浏览器历史记录和照片溢出。

　　研究人员说，由于没有在身份验证壁垒下保护数据库，因此他们能够获得属于安哥拉出租车应用程序T'Leva用户的数据，包括驾驶员和乘客之间交换的消息以及驾驶员的全名，电话号码，目的地和目的地。接送地点。

　　而且，研究人员发现，应用程序开发人员在发送推送通知和直接访问应用程序中嵌入了发送推送通知和访问云存储服务所需的密钥。这不仅可以使不良行为者更容易代表开发人员向所有用户发送恶意通知，而且还可以被武器化以将毫无戒心的用户定向到网络钓鱼页面，从而成为更复杂威胁的切入点。

　　同样，在没有任何保护措施的情况下暴露云存储访问密钥，也为其他攻击打开了大门，在这种攻击中，攻击者可以获取云中存储的所有数据-在Screen Recorder和iFax这两个应用程序中都观察到了这种行为，从而使研究人员能够可以访问屏幕录像和传真文档。

　　Check Point指出，只有少数应用程序响应负责任的披露而更改了配置，这意味着其他应用程序的用户仍然容易受到欺诈和身份盗窃等潜在威胁的影响，更不用说利用被盗的密码来访问其他帐户欺诈地。

　　Check Point移动研究经理Aviran Hazum说：“最终，受害者容易受到许多不同的攻击媒介的攻击，例如冒充，识别盗窃，网络钓鱼和服务刷卡。”他补充说，该研究“揭示了应用程序开发人员所处的令人不安的现实不仅他们的数据有风险，而且私人用户的数据也有风险。”

　　相关资讯：

　　Eufy摄像头用户看到其它用户影像，系服务器错误导致

　　从IPv4过渡到IPv6，这些网络知识最好要了解！

　　本文链接：https://www.yingsoo.com/news/posts/28104.html

版权声明：本站文章来源标注为YINGSOO的内容版权均为本站所有，欢迎引用、转载，请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站，禁止在非www.yingsoo.com所属的服务器上建立镜像，否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。