Google Play to oficjalny sklep z aplikacjami na Androida, z którego na co dzień korzysta większość użytkowników tego systemu. Mają oni wśród czego przebierać – na serwerach giganta z Mountain View przechowywane są bowiem ponad trzy miliony aplikacji, a liczba ta rośnie z każdym miesiącem. Niestety, pomimo wszystkich starań Google’a, na użytkowników sklepu wciąż czyha sporo niebezpieczeństw. W dzisiejszym artykule opiszę Wam, jak źle skonfigurowane aplikacje mogą ujawnić wszystkie Wasze dane dowolnej osobie z Internetu, która wie, czego szuka.
Aplikacje ze źle skonfigurowaną usługą Firebase mogą ujawnić Wasze dane osobowe
Firebase, to rozwijana przez Google’a usługa, która pozwala twórcom aplikacji na znacznie łatwiejszą implementację pewnych elementów do ich programów. Dla przykładu, dzięki Firebase, do swojego dzieła z łatwością dodać można reklamy, powiadomienia push, możliwość komunikacji za pośrednictwem sieci czy nawet moduł odpowiedzialny za zbieranie statystyk na temat użytkowania aplikacji. Niestety nieumiejętne korzystanie z tej usługi może mieć bardzo przykre konsekwencje, głównie dla niczego nieświadomych użytkowników danego programu. Na czym polega problem? To opisuję Wam w kolejnym akapicie.
Zobacz też: Zapłać za konto Google, a… niektóre funkcje zostaną Ci odebrane.
W Google Play znaleziono kilka tysięcy aplikacji, które ujawniły dane użytkowników poprzez Firebase
Eksperci z firmy Appthority, która zajmuje się bezpieczeństwem mobilnych programów i usług, sprawdzili prawie trzy miliony aplikacji, które znaleźć można w sklepach Google Play i Appstore. W teście analizowana była komunikacja programów z serwerami Firebase, głównie taka, która skupiała się na bezpośrednich linkach JSON, dzięki którym dowolna osoba mogłaby uzyskać dostęp do bazy danych aplikacji bez potrzeby autoryzacji. Niestety wyniki nie są zachwycające – badacze odkryli ponad trzy tysiące aplikacji (w tym 2446 z Androida oraz 600 z iOS-a) ze źle skonfigurowaną usługą Firebase, które umożliwiały dostęp do danych każdej osobie, która wiedziała, czego szuka. W konsekwencji w niepowołane ręce mogły wpaść następujące informacje:
- 2600000 haseł i numerów identyfikacyjnych użytkowników zapisanych bez żadnego szyfrowania,
- 4 miliony informacji na temat stanu zdrowia osób korzystających z aplikacji,
- 25 milionów zapisanych lokalizacji GPS,
- 50 tysięcy informacji na temat transakcji bankowych lub związanych z kryptowalutami,
- 4.5 miliona tokenów użytkowników do portali takich jak Facebook, LinkedIn czy Firebase.
Wszystkie aplikacje zagrażające prywatności użytkowników zostały łącznie pobrane ponad 620 milionów razy.
Co robić, jak żyć?
Niestety my, jako użytkownicy, z tym fantem nie możemy zrobić nic. Firma Appthority zgłosiła już do Google’a informacje na temat niebezpiecznych aplikacji, wraz z ich nazwami – gigant z Mountain View powinien zatem zająć się problemem. Jeśli obawiacie się o swoje dane, to na stronie Have I Been Pwned możecie sprawdzić, czy jakiekolwiek informacje powiązane z Waszymi kontami dostały się do publicznych źródeł w Internecie. Zachowajcie ostrożność!
Źródło: Appthority / BleepingComputer