Dữ liệu của hơn 100 triệu người dùng Android bị lộ qua các dịch vụ đám mây được định cấu hình sai

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng dữ liệu cá nhân của hơn 100 triệu người dùng Android đã bị lộ do nhiều cấu hình sai khác nhau của các dịch vụ đám mây.

Dữ liệu được tìm thấy trong cơ sở dữ liệu thời gian thực không được bảo vệ được sử dụng bởi 23 ứng dụng với số lượt tải xuống từ 10.000 đến 10 triệu và cũng bao gồm tài nguyên nội bộ của nhà phát triển.

Mặc dù cơ sở dữ liệu thời gian thực bị định cấu hình sai không phải là điều bất ngờ, nhưng khám phá cho thấy một số nhà phát triển Android không tuân theo các phương pháp bảo mật cơ bản để hạn chế quyền truy cập vào cơ sở dữ liệu của ứng dụng.

Số lượng ứng dụng di động có vấn đề về cấu hình sai cho thấy đây là một vấn đề phổ biến có thể dễ dàng bị lợi dụng cho các mục đích xấu.

Các nhà phát triển ứng dụng sử dụng cơ sở dữ liệu thời gian thực để lưu trữ dữ liệu trên đám mây và đồng bộ hóa nó trong thời gian thực với các máy khách được kết nối.

Các nhà nghiên cứu của Check Point phát hiện ra rằng một số cơ sở dữ liệu này không được bảo vệ và bất kỳ ai cũng có thể truy cập thông tin cá nhân, một số thông tin nhạy cảm, thuộc về hơn 100 triệu người dùng.

Dữ liệu bao gồm tên, địa chỉ email, ngày sinh, tin nhắn trò chuyện, vị trí, giới tính, mật khẩu, ảnh, chi tiết thanh toán, số điện thoại, thông báo push.

Một số ứng dụng tiết lộ loại thông tin này hiện có trong Google Play và có hơn 10 triệu lượt cài đặt ( Logo Maker ,  Astro Guru ). Những người khác, như T'Leva , ít phổ biến hơn nhưng vẫn có cơ sở người dùng đáng kể với số lượt cài đặt từ 10.000 đến 500.000.

Các nhà nghiên cứu cũng tìm thấy các chi tiết nhạy cảm liên quan đến nhà phát triển được nhúng trong một số ứng dụng được thử nghiệm. Trong một ứng dụng, họ đã tìm thấy thông tin đăng nhập cho các dịch vụ thông báo đẩy.

Trong  Screen Recorder , một ứng dụng khác trên Google Play với hơn 10 triệu lượt cài đặt, các nhà nghiên cứu đã tìm thấy các khóa lưu trữ đám mây cung cấp quyền truy cập vào ảnh chụp màn hình của người dùng từ thiết bị.

Họ phát hiện ra rằng ứng dụng iFax Android cũng lưu trữ các khóa lưu trữ đám mây và cơ sở dữ liệu chứa các tài liệu và chuyển fax từ hơn 500.000 người dùng.

Mặc dù vậy, một số nhà phát triển đã áp dụng nguyên tắc “bảo mật thông qua sự che khuất” và làm xáo trộn khóa bí mật bằng cách sử dụng mã hóa base64, điều này không có thêm tính năng bảo vệ nào vì giải mã không được bảo vệ.

“Ngay cả khi ứng dụng không sử dụng các khóa văn bản rõ ràng, tất cả những gì cần thiết là tìm đoạn mã khởi tạo giao diện dịch vụ đám mây, phần lớn nhận các khóa đó dưới dạng tham số và theo dõi giá trị của chúng. Cuối cùng, nếu các khóa được nhúng vào ứng dụng, chúng tôi sẽ nhận được giá trị của chúng ”- Check Point

Trong số 23 ứng dụng mà các nhà nghiên cứu của Check Point đã phân tích, một tá ứng dụng có hơn 10 triệu lượt cài đặt trên Google Play và hầu hết trong số đó có cơ sở dữ liệu thời gian thực không được bảo vệ, làm lộ thông tin nhạy cảm của người dùng.

Các ứng dụng Android phổ biến tiết lộ dữ liệu người dùng

Thông tin người dùng được hiển thị trong cơ sở dữ liệu không được bảo vệ của ứng dụng Android

Mặc dù vấn đề không phải là mới, nhưng điều đáng ngạc nhiên là các ứng dụng rất phổ biến lại không thực thi các phương pháp bảo mật cơ bản để bảo vệ người dùng và dữ liệu của họ.

TRUNGTAMBAOHANH.COM miễn phí kiểm tra thiết bị điện tử