CheckPoint研究人员发现,移动APP开发者错误配置第三方服务,导致1亿多用户数据泄露。CheckPoint研究人员在过去几个月发现,移动应用程序开发人员在配置和集成第三方云服务时没有遵循最佳实践,从而使开发人员的内部资源数据和用户个人数据面临风险。错误配置的实时数据库实时数据库允许应用程序开发人员将数据存储在云中,确保与每个连接的客户端实时同步。该服务可以解决应用开发过程中的诸多问题,确保数据库支持所有客户端平台。但研究人员发现,很多应用开发者并没有配置实时数据库的基本功能——身份验证。图1–在GooglePlay中使用开放式实时数据库的应用研究人员发现,可以从这些开放式数据库中恢复敏感信息,例如电子邮件地址、密码、私人会话、设备位置和用户ID。如果恶意攻击者获得了对这些数据的访问权限,则可能导致欺诈、身份盗用等。图2-徽标制作者用户的电子邮件地址、用户名和密码PushNotificationPushNotificationManager是移动应用程序中广泛使用的服务。开发人员需要向用户发送推送通知。许多推送通知服务需要一个密钥来识别请求的发送者。研究人员发现,一些应用程序将这些密钥嵌入到应用程序文件中。图3-嵌入在应用程序中的推送通知服务的凭证推送通知服务的数据通常不敏感,但攻击者可能更关注利用开发者身份推送通知的能力,例如推送恶意信息。云服务云服务是开发人员或安装的应用程序共享文件的绝佳解决方案。例如,两个APP可以通过云服务共享截图信息。但是,如果开发人员将密钥和访问密钥嵌入到服务中,通过云服务共享数据也会带来风险。研究人员的分析发现,通过应用程序的文件,可以恢复授予对云服务文件的访问权限的密钥。iFaxAPP不仅在APP中嵌入了云存储密钥,还保存了所有传真传输。研究人员分析了该应用程序,发现它可以访问超过500,000名用户发送的所有文件。图4-Googleplay中公开云存储密钥的应用图5-iFax应用上传的文件许多开发人员也知道在应用中存储云服务密钥并不安全。研究人员分析了多个应用程序,发现许多开发者试图通过一些方法补救这个问题,但并没有解决密钥存储问题。例如Jadx应用使用base64编码来隐藏key,但是base64解码非常容易,甚至不需要解码,只需要复制base64编码的key就可以访问对应的内容。总结研究人员分析发现,共有23款APP存在云存储密钥嵌入和实时数据库配置错误。会话、设备位置、用户ID等敏感信息本文翻译自:https://research.checkpoint.com/2021/mobile-app-developers-misconfiguration-of-third-party-services-leave-过亿个人资料曝光/
