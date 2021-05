Konfigurationsfehler in mehreren Android-Apps haben vertrauliche Daten von über 100 Millionen Benutzern verloren, was sie möglicherweise zu einem lukrativen Ziel für böswillige Akteure macht.

“Durch die Nichteinhaltung der Best Practices bei der Konfiguration und Integration von Cloud-Diensten von Drittanbietern in Anwendungen wurden Millionen privater Benutzerdaten offengelegt”, sagten Check Point-Forscher in einer heute veröffentlichten Analyse. ‘Hui und geteilt mit The Hacker News.

“In einigen Fällen betrifft diese Art des Missbrauchs nur Benutzer. Entwickler sind jedoch ebenfalls anfällig. Konfigurationsfehler gefährden die persönlichen Daten der Benutzer und die internen Ressourcen der Entwickler, z. B. den Zugriff auf Aktualisierungsmechanismen, Speicher usw.”

Die Ergebnisse stammen aus einer Studie mit 23 Android-Apps, die im offiziellen Google Play Store erhältlich sind. Einige von ihnen haben Downloads zwischen 10.000 und 10 Millionen, z Astro Guru, iFax, Logohersteller, Bildschirm recorder, und T’Leva.

Laut Check Point sind die Probleme auf eine Fehlkonfiguration von Echtzeitdatenbanken, Push-Benachrichtigungen und Cloud-Speicherschlüsseln zurückzuführen, die dazu führen, dass E-Mails, Telefonnummern, Chat-Nachrichten, Speicherorte, Kennwörter, Sicherungen, Browserverlauf und Fotos verschüttet werden.

Indem die Datenbank nicht hinter Authentifizierungsbarrieren gesichert wurde, konnten die Forscher Daten von Benutzern der angolanischen Taxi-App T’Leva abrufen, einschließlich Nachrichten, die zwischen Fahrern und Passagieren ausgetauscht wurden, sowie vollständige Namen, Telefonnummern sowie Ziel und Ziel. -up Standorte.

Darüber hinaus stellten die Forscher fest, dass App-Entwickler die Schlüssel integriert haben, die zum Senden von Push-Benachrichtigungen und zum Zugriff auf Cloud-Speicherdienste direkt in Apps erforderlich sind. Dies könnte nicht nur schlechten Akteuren ermöglichen, im Namen des Entwicklers eine böswillige Benachrichtigung an alle Benutzer zu senden, sondern auch ausgenutzt werden, um ahnungslose Benutzer auf eine Phishing-Seite zu leiten und so zu einem Einstiegspunkt für Angriffe zu werden.

Das Einbinden von Cloud-Speicherzugriffsschlüsseln in Anwendungen öffnet auch die Tür für andere Angriffe, bei denen ein Gegner alle in der Cloud gespeicherten Daten übernehmen könnte – ein Verhalten, das in zwei Anwendungen, Screen Recorder und iFax, beobachtet wurde und Forschern den Zugriff auf den Bildschirm ermöglicht Aufzeichnungen und gefaxte Dokumente.

Check Point stellt fest, dass nur einige der Apps ihre Konfiguration als Reaktion auf eine verantwortungsvolle Offenlegung geändert haben. Dies bedeutet, dass Benutzer anderer Apps weiterhin anfällig für mögliche Bedrohungen wie Betrug und Identitätsdiebstahl sind, ohne über die Verwendung gestohlener Kennwörter für den Zugriff auf andere Konten zu sprechen . betrügerisch.

“Letztendlich werden Opfer anfällig für viele verschiedene Angriffsmethoden wie Identitätsdiebstahl, Identitätsdiebstahl, Phishing und Service-Scans”, sagte Aviran Hazum, Leiter der mobilen Forschung bei Check Point, und fügte hinzu, dass die Studie “Licht in eine störende Realität bringt, in der App-Entwickler gefährden nicht nur ihre Daten, sondern auch die Daten ihrer privaten Benutzer. “