多款 Android App 因不當配置而導致 1 億多筆使用者敏感個資外洩,這可能使他們淪為惡意攻擊者牟利的肥羊。
「由於在將第三方雲端服務設定並整合到應用程式時,並未遵循最佳實踐,結果導致上億使用者個資外洩。」Check Point 研究人員 20 日分析報告表示。「雖然在某些情況下,這種類型的錯誤只會影響一般使用者,但實際上開發人員也會因此招致攻擊。不當配置會讓使用者個資和開發人員的內部資源(例如對更新機制、儲存等資源的存取權限)面臨風險。」
分析報告是對 Google Play 官方商店 23 款 Android App 的研究結果,其中一些 App 下載量從 1 萬到 1,000 萬不等,例如 Astro Guru、iFax、Logo Maker、Screen Recorder 和 T’Leva 等 App。
據 Check Point 指出,這些問題源於對即時資料庫、推送通知和雲端儲存金鑰的不當配置所致,進而導致電子郵件、電話號碼、聊天訊息、位置、密碼、備份檔、瀏覽器歷史記錄和照片的外洩。
研究人員將重要服務存取金鑰內嵌 App,為攻擊者敞開長驅直入大門
研究人員舉例指出,由於安哥拉(非洲國家)計程車叫車 App T’Leva 沒有在身分認證關卡做好保護資料庫,致使研究人員輕易獲得用戶個資,包括司機和乘客之間交流的訊息,以及乘客全名、電話號碼、目的地和接送地點。
此外,研究人員發現,App 開發人員在 App 直接嵌入發送推播通知和存取雲端儲存服務所需金鑰。這不僅會讓惡意攻擊者假藉開發人員的名義向所有使用者發送惡意通知,甚至還能藉此將毫無戒心與防備的使用者導向至網路釣魚頁面,淪為更複雜威脅的切入點。
同樣地,將雲端儲存存取金鑰嵌入 App,無異為其他攻擊打開長驅直入的大門,這樣的攻擊,攻擊者可將雲端儲存的所有資料竊取到手,研究人員便在 Screen Recorder 和 iFax 這兩個 App 成功展開攻擊,並拿到螢幕錄影檔與傳真文件。
Check Point 指出,只有少數 App 負責任地立即變更,以呼應這次安全揭露,這意味其他 App 使用者仍然容易受詐騙和身分盜用等可能威脅的影響,更不用說駭客可能利用被盜密碼騙取其他帳號了。
「當前受害者基本上易受許多不同攻擊媒介的攻擊,例如偽造攻擊、身分盜用、網路釣魚和服務盜用等。」Check Point 行動研究經理 Aviran Hazum 說。「這次研究揭露令人不安的現實狀況:App 開發人員不僅將用戶個資料置於風險下,並讓自身個資也有曝險之虞。」
(首圖來源:Google Play)
