Daten von 100 Millionen Android-Benutzern, die aufgrund der Synchronisierung des Cloud-Speichers verfügbar gemacht wurden

Die Daten von über 100 Millionen Android-App-Benutzern wurden aufgrund von Fehlkonfigurationen im Zusammenhang mit Diensten von Drittanbietern entdeckt.

Detailliert Laut Forschern von Check Point Software Technologies Ltd. umfasst das Exponat am 20. Mai 23 beliebte Anwendungen, die die persönlichen Daten der Benutzer durch interne Entwicklerressourcen gefährden, z. B. den Zugriff auf Aktualisierungsmechanismen und die Speicherung.

Der potenzielle Verstoß beruht hauptsächlich auf der Verwendung des Echtzeit-Datenbankzugriffs, einem Dienst, mit dem Entwickler Daten in der Cloud speichern können. Die Forscher stellten fest, dass sie vertrauliche Informationen wie E-Mail-Adressen, Kennwörter, private Chats, Gerätestandort, Benutzer-IDs usw. wiederherstellen konnten, da die Anwendungen den Zugriff zwischen der Anwendung und der Cloud-Datenbank nicht sicherten.

Ein Beispiel ist eine App namens Astro Guru, die als beliebte App für Astrologie, Horoskop und Handlesen mit über 10 Millionen Downloads beschrieben wird. Aufgrund der unsicheren Art und Weise, wie die Daten über Cloud-basierte Echtzeitdatenbanken synchronisiert wurden, konnten die Forscher auf persönliche Informationen, einschließlich Zahlungsdetails, zugreifen.

Die Forscher stellten fest, dass Cloud-Speicher in mobilen Apps zwar eine elegante Lösung für den Zugriff auf Dateien darstellt, jedoch schwerwiegende Folgen haben kann, wenn Entwickler denselben Dienst und dieselben geheimen Schlüssel in ihre Apps integrieren.

“Einige dieser Probleme, die in den Untersuchungen von Check Point aufgedeckt wurden, ähneln denen, die wir in dem Vorfall mit dem iPhone-Rekorder behandelt haben”, sagte Michael Isbitski, technischer Evangelist beim Start von Security für Anwendungsprogrammierschnittstellen Salt Security Inc.sagte SiliconANGLE. „Entwickler mobiler Apps verwenden häufig in der Cloud gehostete Datenbanken und Datenspeicher wie AWS S3, um Inhalte für mobile Clients zu speichern.“

READ  Der Angriff auf Samsung wird 2020 stattfinden

Für einige der von Check Point getesteten Android-Apps haben die Entwickler Verbindungsschlüssel für den Backend-Cloud-Speicher direkt in den Code der mobilen App integriert. “Es ist eine schlechte Praxis, statische Zugriffsschlüssel in einer Anwendung fest zu codieren und zu speichern, die die Anwendung wiederum verwendet, um eine Verbindung zu den Backend-APIs eines Unternehmens und den Cloud-APIs von Drittanbietern herzustellen.”, Erklärte er.

Ray Kelly, Senior Security Engineer bei Cloud Application Security Provider WhiteHat Security Inc., bemerkte, dass Entwickler mobile Backends eher als vor Hackern verborgen betrachten, eine Praxis, die in der Cybersicherheitsbranche als “Sicherheit durch Dunkelheit” bekannt ist.

“Es ist, als ob Sie Ihren Hausschlüssel unter Ihrer Fußmatte verstecken und denken, Ihr Haus ist sicher”, sagte Kelly. “Um die Sicherheit einer mobilen Anwendung zu gewährleisten, müssen die Binär-, Netzwerkschicht-, Backend-Speicher- und Anwendungs-APIs gründlich auf Sicherheitslücken getestet werden, die zu Problemen wie Datenlecks führen können.”

Bild: Kontrollpunkt

Da bist du hier …

Zeigen Sie Ihre Unterstützung für unsere Mission mit unserem Ein-Klick-Abonnement für unseren YouTube-Kanal (unten). Je mehr Abonnenten wir haben, desto mehr YouTube bietet Ihnen Inhalte, die für aufstrebende Unternehmen und Technologien relevant sind. Vielen Dank!

Unterstützen Sie unsere Mission: >>>>>> JETZT ANMELDEN >>>>>> auf unserem YouTube-Kanal.

… Wir möchten Ihnen auch über unsere Mission erzählen und wie Sie uns helfen können, sie zu erfüllen. Das Geschäftsmodell von SiliconANGLE Media Inc. basiert auf dem inneren Wert von Inhalten und nicht auf Werbung. Im Gegensatz zu vielen Online-Veröffentlichungen haben wir keine Zahlungswand oder Bannerwerbung, da wir unseren Journalismus offen halten möchten, ohne Einfluss oder die Notwendigkeit, den Verkehr zu fördern.Journalismus, Berichterstattung und Kommentar zu Siliziumwinkel – sowie nicht geschriebene Live-Videos aus unserem Silicon Valley-Studio und den weltumspannenden Videoteams von Der Würfel – erfordert viel Arbeit, Zeit und Geld. Die Aufrechterhaltung einer hohen Qualität erfordert die Unterstützung von Sponsoren, die unserer Vision von werbefreien journalistischen Inhalten entsprechen.

Wenn Sie hier gerne berichten, Videointerviews und andere werbefreie Inhalte veröffentlichen, nehmen Sie sich bitte einen Moment Zeit, um ein Beispiel der von unseren Sponsoren unterstützten Videoinhalte anzusehen. twittere deine Unterstützungund kommen immer wieder zurück zu Siliziumwinkel.

READ  Animal Crossing: New Horizons Version 1.8.0 ist jetzt verfügbar - Super Mario Items und mehr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.