23 ứng dụng Android tiết lộ hơn 100 triệu dữ liệu cá nhân người dùng

23 ứng dụng Android tiết lộ hơn 100 triệu dữ liệu cá nhân người dùng

Cấu hình sai trong nhiều ứng dụng Android đã làm rò rỉ dữ liệu nhạy cảm của hơn 100 triệu người dùng, có khả năng khiến họ trở thành mục tiêu béo bở cho những kẻ độc hại.

Các nhà nghiên cứu bảo mật "Trong một số trường hợp, kiểu lạm dụng này chỉ ảnh hưởng đến người dùng, tuy nhiên, các nhà phát triển cũng dễ bị tấn công. Việc định cấu hình sai khiến dữ liệu cá nhân của người dùng và tài nguyên nội bộ của nhà phát triển, chẳng hạn như quyền truy cập vào các cơ chế cập nhật, lưu trữ, v.v."

Phát hiện này đến từ cuộc kiểm tra 23 ứng dụng Android có sẵn trong Cửa hàng Google Play chính thức, một số ứng dụng có số lượt tải xuống từ 10.000 đến 10 triệu, chẳng hạn như Astro Guru, iFax, Logo Maker, Screen Recorder và T'Leva. cho biết trong một phân tích được công bố hôm nay và chia sẻ với The Hacker News: “Do không tuân theo các phương pháp hay nhất khi định cấu hình và tích hợp các dịch vụ đám mây của bên thứ ba vào các ứng dụng, hàng triệu dữ liệu riêng tư của người dùng đã bị lộ.

Theo các chuyên gia bảo mật, các vấn đề bắt nguồn từ việc định cấu hình sai cơ sở dữ liệu thời gian thực, thông báo đẩy và khóa lưu trữ đám mây, dẫn đến tràn email, số điện thoại, tin nhắn trò chuyện, vị trí, mật khẩu, bản sao lưu, lịch sử trình duyệt và ảnh.

Do bảo mật cơ sở dữ liệu sau các rào cản xác thực danh tính, các nhà nghiên cứu cho biết có thể lấy dữ liệu của người dùng ứng dụng taxi Angola T’Leva, bao gồm các tin nhắn trao đổi giữa tài xế và hàng khách cũng như tên đầy đủ, số điện thoại và điểm đến của hành khách địa điểm đón khác.

Hơn nữa, các nhà nghiên cứu phát hiện ra rằng các nhà phát triển ứng dụng đã nhúng các khóa cần thiết để gửi thông báo đẩy và truy cập các dịch vụ lưu trữ đám mây ngay trong ứng dụng. Điều này không chỉ giúp những kẻ xấu dễ dàng thay mặt nhà phát triển gửi thông báo lừa đảo đến tất cả người dùng mà còn có thể được vũ khí hóa để hướng những người dùng không nghi ngờ đến một trang lừa đảo, do đó trở thành điểm vào cho các mối đe dọa phức tạp hơn.

Tương tự, việc để lộ các khóa truy cập lưu trữ đám mây mà không có bất kỳ biện pháp bảo vệ nào, mở ra cánh cửa cho các cuộc tấn công khác, trong đó kẻ thù có thể nắm giữ tất cả dữ liệu được lưu trữ trên đám mây - một hành vi đã được quan sát thấy trong hai ứng dụng Screen Recorder và iFax, do đó mang lại cho các nhà nghiên cứu Tương tự như vậy, khả năng truy cập các bản ghi màn hình và các tài liệu đã fax. Việc để lộ các khóa truy cập lưu trữ đám mây mà không có bất kỳ biện pháp bảo vệ nào, tương tự, mở ra cánh cửa cho các cuộc tấn công khác, trong đó kẻ thù có thể nắm giữ tất cả dữ liệu được lưu trữ trên đám mây - một hành vi đã được quan sát thấy trong hai ứng dụng, Screen Recorder và iFax, do đó cung cấp cho các nhà nghiên cứu khả năng truy cập các bản ghi màn hình và tài liệu fax.

Lưu ý rằng chỉ một số ứng dụng thay đổi cấu hình để phản ứng với việc tiết lộ có trách nhiệm, ngụ ý rằng người dùng các ứng dụng khác tiếp tục dễ bị ảnh hưởng bởi các mối đe dọa có thể xảy ra như gian lận và đánh cắp danh tính, chưa kể đến việc tận dụng mật khẩu bị đánh cắp để truy cập vào các tài khoản khác một cách gian lận.

Cuối cùng, nạn nhân trở nên dễ bị tấn công bởi nhiều phương tiện tấn công khác nhau, chẳng hạn như mạo danh, xác định hành vi trộm cắp, lừa đảo và quẹt dịch vụ”.

Hương