Več kot 4.000 Android aplikacij razkriva podatke uporabnikov
14.05.2020
Ko v zadnjem času poslušam polemike, ali na mobilni telefon namestiti aplikacijo, ki bi pripomogla k samoizolaciji, če ste bili v stiku z obolelim za Covid-19, se hkrati vprašam, o varnostni ozaveščenosti uporabnikov mobilnih Andorid aplikacij, ki si jih preprosto naložimo iz trgovine Google Play. V nadaljevanju namreč razkrivam, kaj so raziskovalci ugotovili o varnostni podatkov, kje vse so lahko NAŠI podatki razkriti (tudi lokacije, kjer se nahajamo). In tisti, ki se tako zavzemajo za varovanje osebnih podatkov, ne ukrepajo dovolj. Smo pač ‘sami krivi’, če nameščamo aplikacije iz Google-ove trgovine.
Več kot 4.000 Android aplikacij, ki uporabljajo Google-ove podatkovne baze Firebase, so sicer nevede razkrivale občutljive informacije o svojih uporabnikih, vključno z njihovimi e-poštnimi naslovi, uporabniškimi imeni, gesli, telefonskimi številkami, polnimi imeni, kratkimi SMS sporočili in podatkih o lokaciji.
Kaj je pokazala raziskava?
Preiskava, ki jo je vodil Bob Diachenko iz Security Discovery v sodelovanju z Comparitechom, je rezultat analize 15.735 Android aplikacij, ki predstavljajo približno 18 % vseh aplikacij v trgovini Google Play.
4,8 % mobilnih aplikacij, ki za shranjevanje uporabniških podatkov uporabljajo Google Firebase, ni ustrezno zaščitenih, kar vsakomur omogoča dostop do baz podatkov, ki vsebujejo osebne podatke uporabnikov, dostopne ‘žetone’ in druge podatke brez gesla ali kakršne koli druge overitve, so povedali pri podjetju Comparitech.
Firebase, ki ga je Google prevzel leta 2014, je priljubljena platforma za razvoj mobilnih aplikacij, ki ponuja različna orodja za pomoč razvijalcem aplikacij tretjih proizvajalcev pri gradnji aplikacij, varnemu shranjevanju podatkov in datotek aplikacij, odpravljanju težav in celo sodelovanje z uporabniki prek sporočanja v aplikacijah Lastnosti.
Glede na to, da je Firebase orodje za več platform, so raziskovalci tudi opozorili, da napačne konfiguracije verjetno vplivajo tudi na iOS in spletne aplikacije, vendar tega niso potrdili.
Celotna vsebina baze podatkov, ki obsega 4.282 Android aplikacij, vključuje:
- naslove elektronske pošte: 7.000.000+
- uporabniška imena: 4.400.000+
- gesla: 1.000.000+
- telefonske številke: 5.300.000+
- popolna imena: 18.300.000+
- kratka sporočila: 6.800.000+
- GPS podatke: 6.200.000+
- IP naslove: 156.000+
- naslove ulic: 560.000+
Diachenko je baze podatkov našel z znanim REST API-jem Firebase, ki se uporablja za dostop do podatkov, shranjenih v nezaščitenih primerkih, pridobljenih v obliki JSON, s preprosto pripisovanjem “/.json” na URL baze podatkov (npr. “Https: //~project_id~.firebaseio”. com / .json “).
Razen 155.066 aplikacij z javno izpostavljenimi zbirkami podatkov, so raziskovalci našli 9.014 aplikacij z dovoljenjem za pisanje, s čimer bi lahko napadalcu omogočil vnašanje zlonamernih podatkov in poškodovali bazo podatkov ter celo širil zlonamerno programsko opremo.
Kako se izogniti težavam Android Aplikacij?
Po tem, ko je bil Google 22. aprila obveščen o ugotovitvah, je iskalni gigant izjavil, da bo o tem obvestil razvijalce aplikacij, na katerih je bila odkrita težava, da jo čimprej odpravijo.
Žal pa se takšne težave (razkritje podatkov) pri uporabi podatkovne baze Firebase niso pojavile prvič. Raziskovalci mobilnega varnostnega podjetja Appthority so pred dvema letoma ugotovili podoben primer, ki je povzročil razkritje 100 milijonov podatkovnih zapisov.
Žal v tem primeru niti ne morem dati nasveta, ki bi bil ‘pravi’. Lahko vas le opozorim oz. kar polagam na srce, da bodite previdni pri nameščanju mobilnih aplikacij predvsem takrat, ko vas v fazi namestitve aplikacija sprašuje, za kaj vse ji dovoljujete dostop.
Če želite poskrbeti za varnost svojih mobilnih naprav, sploh če napravo uporabljate tako za osebne kot službene zadeve, si preberite še več nasvetov, ki smo jih za zbrali za vas. Z veseljem tudi odgovorim na vaša specifična vprašanja. Ostanite varni in zdravi.
Prispevek je pripravil Boris Krajnc.
