- CPR 发现 13 个 Android 应用的实时数据库的敏感数据遭泄露,每个应用的下载量均在 10,000 到 1,000 万之间
- CPR 发现许多 Android 应用本身嵌入了推送通知功能和云存储密钥
- CPR 举出了一些易受攻击的应用例子:星座、出租车、徽标制作者、屏幕录制和传真应用,这些应用的用户和开发人员容易遭受攻击
现代云解决方案已成为移动应用开发领域的新标准。开发人员只需点击一下即可将云存储、实时数据库、通知管理和分析等服务集成到应用中。然而,开发人员经常会忽略这些服务的配置及内容所存在的安全问题。
CPR 最近发现,在过去的几个月中,许多应用开发人员在为应用配置和集成第三方云服务时没有遵循最佳安全实践,导致他们的数据和数百万用户的私人信息遭到泄露。配置错误为用户的个人数据和开发人员的内部资源(如访问更新机制、存储等)带来了风险。
错误配置实时数据库
实时数据库支持应用开发人员将数据存储在云端,从而实现数据与每个联网客户端的实时同步。该服务不仅解决了应用开发中的一个常见问题,而且还可确保数据库适用于所有客户端平台。但是,如果应用开发人员没有为实时数据库配置身份验证等简单的基本特性,将会发生什么呢?
这种实时数据库配置错误问题由来已久,并且仍然非常普遍,受此问题影响的用户多达数百万。为此,CPR 研究人员尝试访问了数据,结果发现,实时数据库没有采取任何措施来阻止该未经授权的访问。
在调查开源数据库的内容时,Check Point安全顾问从中获得了很多敏感信息,包括电子邮件地址、密码、私人聊天、设备位置、用户标识符等。如果攻击者获得了该数据,可能会进行服务刷卡(即尝试在其他服务上使用相同的用户名和密码组合)、欺诈和/或身份盗用。
Google Play 上采用开源实时数据库的部分应用
Logo Maker上用户的电子邮件、密码、用户名和 ID
CPR 研究人员发现,下载量超过 1,000 万的热门星座、星象和手相应用 Astro Guru 也出现了这种配置错误。用户输入个人信息(例如姓名、出生日期、性别、位置、电子邮件和付款明细)后,Astro Guru 将为他们生成一份个人星座和星象预测报告。这种星象预测竟然暴露了敏感数据,简直令人咋舌!
抛却个人信息不说,泄露实时数据更令人无语,这可是实时数据库原本存在的意义啊!在下载量超过 5 万的出租车应用 T'Leva 上,CPR 研究人员成功访问了司机与乘客之间的聊天消息,并检索到了用户的姓名、电话号码和位置(目的地和上车地点),所有信息只需通过向数据库发送一个请求即可获得。
推送通知
推送通知管理器是移动应用行业使用最广泛的服务之一。推送通知通常用于标记新的可用内容、显示聊天消息、电子邮件等。大多数推送通知服务都需要一个密钥(有时不止一个)来识别请求发送者的身份。如果这些密钥只是简单地嵌入到应用文件中,黑客很容易就会抢走控制,并冒充开发人员向所有用户发送可能包含恶意链接或内容的通知。
试想一下,如果一个新闻媒体应用向用户推送了虚假新闻通知,进而将用户重定向到网络钓鱼页面,后果将不堪设想。由于该通知来自官方应用,用户自然会认为这是官方发出的合法消息,而非黑客发起的恶意攻击。
云存储
在过去的几年中,移动应用云存储得到飞速发展,允许访问开发人员或安装应用共享的文件。以下两个示例是 CPR 研究人员在 Google Play 上发现的应用:
“Screen Recorder”应用用于记录用户的设备屏幕并将录像存储在云服务中,下载量超过 1,000万。尽管通过云访问屏幕录像非常方便,但如果开发人员将用户个人密码放到存储录像的同一云服务上,则可能会产生严重的影响。在对应用文件进行快速分析之后,CPR 研究人员恢复了所述密钥,从而获得了对每个存储录像的访问权。
第二个应用“iFax”不仅嵌入了云存储密钥,而且保存了所有传真传输信息。只需要对应用加以分析,攻击者就能够访问 50 万应用用户发送的所有文档。
在本文章发布之前,CPR 已联系 Google 和所有应用开发人员,报告了我们的研究发现。其中一些应用的配置已经更改。
如何做好自我防护
黑客攻击移动设备的手段五花八门,比如使用恶意应用、发起网络层攻击以及利用设备和移动操作系统漏洞等。随着移动设备的重要性与日俱增,越来越多的网络犯罪分子盯上了这块肥肉。最终,针对这些设备的网络威胁变得更加多样化。一款有效的移动威胁防御解决方案应该既能检测和响应各种不同的攻击,又能提供积极的用户体验。
Check Point Harmony Mobile 是市场领先的移动威胁防御 (MTD) 和移动应用信誉服务 (MARS) 解决方案,能够提供一系列广泛的功能,确保移动设备及其数据的安全。
