5月21日,CheckPoint研究人员在一份分析报告中表示,约1亿用户的隐私数据由于多个Android应用程序中的错误配置而被泄露,使得这些数据对于恶意行为者来说可能是“肥肉”。“大约1亿用户的个人数据被泄露,因为应用程序在配置和与第三方云服务集成时没有遵循最佳实践,”CheckPoint在分析中表示。“此类错误不仅会影响用户,还会影响开发人员。配置错误会使用户的个人数据和开发人员的内部资源面临风险,例如访问更新机制、存储等。”这一发现来自对GooglePlay官方商店中23款Android应用程序的审查,根据研究,这些应用程序的下载量在1万到1000万之间,例如AstroGuru、iFax、LogoMaker、ScreenRecorder和T'Leva.据CheckPoint称,这些问题来源包括实时数据库、推送通知和云存储密钥的错误配置,导致电子邮件、电话号码、聊天消息、位置、密码、备份、浏览器历史记录和照片泄露。研究人员表示,由于数据库没有受到身份验证屏障的保护,他们能够获得安哥拉叫车应用T'Leva用户的数据,包括司机和乘客之间交换的消息,以及乘客的全名,电话号码、目的地和上车地点。此外,研究人员发现,应用程序开发人员在其应用程序中嵌入了发送推送通知和访问云存储服务所需的密钥。这不仅可以让恶意行为者更容易冒充开发人员向所有用户发送恶意通知,还可以利用它引导毫无戒心的用户访问钓鱼页面以应对更复杂的威胁。同时,在应用程序中嵌入云存储访问密钥也为其他攻击打开了大门,对手可以在这些攻击中获取存储在云中的所有数据。研究人员在ScreenRecorder和iFax这两款应用程序中观察到了这种行为,这两款应用程序允许他们访问屏幕录像和传真文件。CheckPoint指出,在漏洞被披露后,只有少数应用程序的配置发生了变化。大多数剩余应用程序的用户仍然面临欺诈和身份盗用等危险。CheckPoint移动研究经理AviranHazum说:“最终,受害者很容易受到许多不同的攻击媒介的攻击,例如冒充、身份盗用、网络钓鱼和浏览。”’正常数据处于危险之中,甚至是个人隐私数据。”
