Le integrazioni di servizi cloud configurati in modo errato nelle app Android hanno il potenziale per divulgare i dati personali di milioni di utenti, inclusi luoghi, foto e password.
Secondo Check Point Research (CPR), il team di ricerca dietro il fornitore di sicurezza informatica Check Point Software Technologies, gli sviluppatori di app non hanno seguito le migliori pratiche negli ultimi mesi durante la configurazione e l’integrazione di servizi cloud esterni nelle loro applicazioni Android. Dopo aver analizzato 23 app Android.
In 13 esempi, CPR avrebbe trovato dati sensibili pubblicamente disponibili da database in tempo reale, con il numero di download da ciascuna app compreso tra 10.000 e 10 milioni.
Sebbene CPR riconosca che la configurazione errata dei database in tempo reale non è un nuovo errore, ed è in effetti ampiamente popolare, ha affermato che tutto ciò che ha fatto è stato tentare di accedere ai dati, senza alcuna garanzia per impedire l’accesso non autorizzato.
Durante l’esame del contenuto su [publicly] Database disponibile, siamo stati in grado di recuperare molte informazioni sensibili tra cui indirizzi e-mail, password, conversazioni private, posizione del dispositivo, ID utente e altro “, secondo un post sul blog del team di ricerca.
Inoltre, se un elemento dannoso ottiene l’accesso a tali dati, potrebbe potenzialmente portare a un forte impatto sul servizio – tentando di utilizzare la stessa combinazione di nome utente e password su altri servizi – frode o furto di identità.
Due esempi specifici forniti includono astrologia, oroscopi e chiromanzia Astro Guru, che ha più di 10 milioni di download, e l’app taxi T’Leva, con oltre 50.000 download.
Con la prima app, Check Point ha affermato di aver trovato la configurazione sbagliata, che potrebbe accedere a nomi, compleanni, sesso, posizioni, e-mail e dettagli di pagamento. Nel frattempo, la seconda app avrebbe rivelato messaggi di chat tra conducenti e passeggeri, nonché nomi completi, numeri di telefono, destinazioni e luoghi di ritiro, attraverso una sola richiesta al database.
E secondo il team di ricerca, anche i gestori delle notifiche push, app in grado di taggare nuovi contenuti e visualizzare messaggi di chat ed e-mail, possono essere sfruttati. La maggior parte delle applicazioni di questo tipo, denominate Check Point, funzionano utilizzando una o più chiavi per identificare l’identità del richiedente.
“Quando queste chiavi sono incluse solo nel file dell’applicazione stesso, è molto facile per gli hacker controllare e acquisire la capacità di inviare notifiche che possono contenere collegamenti o contenuti dannosi a tutti gli utenti per conto dello sviluppatore”, secondo il team di ricerca Ha scritto CPR.
“Immagina se l’app di un sito di notizie inviasse una notifica che indicava che erano state inserite notizie false ai suoi utenti indirizzandoli a una pagina di phishing. Poiché la notifica proviene dall’app ufficiale, gli utenti presumerebbero che la notifica fosse legittima e che sia stata inviata dal news outlet e non dagli hacker “.
Inoltre, in alcuni casi è stato anche effettuato l’accesso all’archiviazione cloud delle app mobili, sollevando preoccupazioni sulla protezione tramite password per gli utenti sugli stessi servizi cloud che archiviano anche i contenuti.
Questo presumibilmente include un’app di registrazione dello schermo chiamata Screen Recorder che hanno e un’app per l’invio di fax chiamata iFax, che ha rispettivamente oltre 10 milioni e 500.000 download. Un’analisi di queste app da parte del team di ricerca di Check Point ha rilevato le rispettive chiavi di archiviazione cloud, che potrebbero consentire agli attori malintenzionati di accedere ai file archiviati.
Check Point ha anche indicato che Google e gli sviluppatori di app sono stati contattati prima che il team di ricerca pubblicasse il blog, il che ha comportato la modifica di “poche” app per configurarlo.
Contrassegnato Check Point Software Technologies
“Pluripremiato specialista televisivo. Appassionato di zombi. Impossibile scrivere con i guantoni da boxe. Pioniere di Bacon.”