- CPR 發(fā)現 13 個(gè) Android 應用的實(shí)時(shí)數據庫的敏感數據遭泄露,每個(gè)應用的下載量均在 10,000 到 1,000 萬(wàn)之間
- CPR 發(fā)現許多 Android 應用本身嵌入了推送通知功能和云存儲密鑰
- CPR 舉出了一些易受攻擊的應用例子:星座、出租車(chē)、徽標制作者、屏幕錄制和傳真應用,這些應用的用戶(hù)和開(kāi)發(fā)人員容易遭受攻擊
現代云解決方案已成為移動(dòng)應用開(kāi)發(fā)領(lǐng)域的新標準。開(kāi)發(fā)人員只需點(diǎn)擊一下即可將云存儲、實(shí)時(shí)數據庫、通知管理和分析等服務(wù)集成到應用中。然而,開(kāi)發(fā)人員經(jīng)常會(huì )忽略這些服務(wù)的配置及內容所存在的安全問(wèn)題。
CPR 最近發(fā)現,在過(guò)去的幾個(gè)月中,許多應用開(kāi)發(fā)人員在為應用配置和集成第三方云服務(wù)時(shí)沒(méi)有遵循最佳安全實(shí)踐,導致他們的數據和數百萬(wàn)用戶(hù)的私人信息遭到泄露。配置錯誤為用戶(hù)的個(gè)人數據和開(kāi)發(fā)人員的內部資源(如訪(fǎng)問(wèn)更新機制、存儲等)帶來(lái)了風(fēng)險。
錯誤配置實(shí)時(shí)數據庫
實(shí)時(shí)數據庫支持應用開(kāi)發(fā)人員將數據存儲在云端,從而實(shí)現數據與每個(gè)聯(lián)網(wǎng)客戶(hù)端的實(shí)時(shí)同步。該服務(wù)不僅解決了應用開(kāi)發(fā)中的一個(gè)常見(jiàn)問(wèn)題,而且還可確保數據庫適用于所有客戶(hù)端平臺。但是,如果應用開(kāi)發(fā)人員沒(méi)有為實(shí)時(shí)數據庫配置身份驗證等簡(jiǎn)單的基本特性,將會(huì )發(fā)生什么呢?
這種實(shí)時(shí)數據庫配置錯誤問(wèn)題由來(lái)已久,并且仍然非常普遍,受此問(wèn)題影響的用戶(hù)多達數百萬(wàn)。為此,CPR 研究人員嘗試訪(fǎng)問(wèn)了數據,結果發(fā)現,實(shí)時(shí)數據庫沒(méi)有采取任何措施來(lái)阻止該未經(jīng)授權的訪(fǎng)問(wèn)。
在調查開(kāi)源數據庫的內容時(shí),Check Point安全顧問(wèn)從中獲得了很多敏感信息,包括電子郵件地址、密碼、私人聊天、設備位置、用戶(hù)標識符等。如果攻擊者獲得了該數據,可能會(huì )進(jìn)行服務(wù)刷卡(即嘗試在其他服務(wù)上使用相同的用戶(hù)名和密碼組合)、欺詐和/或身份盜用。
Google Play 上采用開(kāi)源實(shí)時(shí)數據庫的部分應用
Logo Maker上用戶(hù)的電子郵件、密碼、用戶(hù)名和 ID
CPR 研究人員發(fā)現,下載量超過(guò) 1,000 萬(wàn)的熱門(mén)星座、星象和手相應用 Astro Guru 也出現了這種配置錯誤。用戶(hù)輸入個(gè)人信息(例如姓名、出生日期、性別、位置、電子郵件和付款明細)后,Astro Guru 將為他們生成一份個(gè)人星座和星象預測報告。這種星象預測竟然暴露了敏感數據,簡(jiǎn)直令人咋舌!
拋卻個(gè)人信息不說(shuō),泄露實(shí)時(shí)數據更令人無(wú)語(yǔ),這可是實(shí)時(shí)數據庫原本存在的意義啊!在下載量超過(guò) 5 萬(wàn)的出租車(chē)應用 T'Leva 上,CPR 研究人員成功訪(fǎng)問(wèn)了司機與乘客之間的聊天消息,并檢索到了用戶(hù)的姓名、電話(huà)號碼和位置(目的地和上車(chē)地點(diǎn)),所有信息只需通過(guò)向數據庫發(fā)送一個(gè)請求即可獲得。
推送通知
推送通知管理器是移動(dòng)應用行業(yè)使用最廣泛的服務(wù)之一。推送通知通常用于標記新的可用內容、顯示聊天消息、電子郵件等。大多數推送通知服務(wù)都需要一個(gè)密鑰(有時(shí)不止一個(gè))來(lái)識別請求發(fā)送者的身份。如果這些密鑰只是簡(jiǎn)單地嵌入到應用文件中,黑客很容易就會(huì )搶走控制,并冒充開(kāi)發(fā)人員向所有用戶(hù)發(fā)送可能包含惡意鏈接或內容的通知。
試想一下,如果一個(gè)新聞媒體應用向用戶(hù)推送了虛假新聞通知,進(jìn)而將用戶(hù)重定向到網(wǎng)絡(luò )釣魚(yú)頁(yè)面,后果將不堪設想。由于該通知來(lái)自官方應用,用戶(hù)自然會(huì )認為這是官方發(fā)出的合法消息,而非黑客發(fā)起的惡意攻擊。
云存儲
在過(guò)去的幾年中,移動(dòng)應用云存儲得到飛速發(fā)展,允許訪(fǎng)問(wèn)開(kāi)發(fā)人員或安裝應用共享的文件。以下兩個(gè)示例是 CPR 研究人員在 Google Play 上發(fā)現的應用:
“Screen Recorder”應用用于記錄用戶(hù)的設備屏幕并將錄像存儲在云服務(wù)中,下載量超過(guò) 1,000萬(wàn)。盡管通過(guò)云訪(fǎng)問(wèn)屏幕錄像非常方便,但如果開(kāi)發(fā)人員將用戶(hù)個(gè)人密碼放到存儲錄像的同一云服務(wù)上,則可能會(huì )產(chǎn)生嚴重的影響。在對應用文件進(jìn)行快速分析之后,CPR 研究人員恢復了所述密鑰,從而獲得了對每個(gè)存儲錄像的訪(fǎng)問(wèn)權。
第二個(gè)應用“iFax”不僅嵌入了云存儲密鑰,而且保存了所有傳真傳輸信息。只需要對應用加以分析,攻擊者就能夠訪(fǎng)問(wèn) 50 萬(wàn)應用用戶(hù)發(fā)送的所有文檔。
在本文章發(fā)布之前,CPR 已聯(lián)系 Google 和所有應用開(kāi)發(fā)人員,報告了我們的研究發(fā)現。其中一些應用的配置已經(jīng)更改。
如何做好自我防護
黑客攻擊移動(dòng)設備的手段五花八門(mén),比如使用惡意應用、發(fā)起網(wǎng)絡(luò )層攻擊以及利用設備和移動(dòng)操作系統漏洞等。隨著(zhù)移動(dòng)設備的重要性與日俱增,越來(lái)越多的網(wǎng)絡(luò )犯罪分子盯上了這塊肥肉。最終,針對這些設備的網(wǎng)絡(luò )威脅變得更加多樣化。一款有效的移動(dòng)威脅防御解決方案應該既能檢測和響應各種不同的攻擊,又能提供積極的用戶(hù)體驗。
Check Point Harmony Mobile 是市場(chǎng)領(lǐng)先的移動(dòng)威脅防御 (MTD) 和移動(dòng)應用信譽(yù)服務(wù) (MARS) 解決方案,能夠提供一系列廣泛的功能,確保移動(dòng)設備及其數據的安全。
