多個(gè)Android應(yīng)用程序中的錯(cuò)誤配置泄漏了超過1億用戶的敏感數(shù)據(jù)，這可能使它們成為惡意行為者的豐厚目標(biāo)。

　　Check Point研究人員在今天發(fā)布的一份分析報(bào)告中表示，“在將第三方云服務(wù)配置和集成到應(yīng)用程序中時(shí)，如果不遵循最佳實(shí)踐，就會(huì)暴露數(shù)百萬用戶的私人數(shù)據(jù)?！?/p>

　　“在某些情況下，這種類型的濫用只會(huì)影響用戶，但是，開發(fā)人員也容易受到攻擊。錯(cuò)誤的配置使用戶的個(gè)人數(shù)據(jù)和開發(fā)人員的內(nèi)部資源(如訪問更新機(jī)制，存儲(chǔ)等)面臨風(fēng)險(xiǎn)。”

　　調(diào)查結(jié)果來自對(duì)官方Google Play商店中提供的23種Android應(yīng)用程序的檢查，其中一些下載量從10,000到1,000萬不等，例如Astro Guru，iFax，Logo Maker，Screen Recorder和T'Leva。

　　據(jù)Check Point稱，這些問題源于對(duì)實(shí)時(shí)數(shù)據(jù)庫，推送通知和云存儲(chǔ)密鑰的錯(cuò)誤配置，導(dǎo)致電子郵件，電話號(hào)碼，聊天消息，位置，密碼，備份，瀏覽器歷史記錄和照片溢出。

　　研究人員說，由于沒有在身份驗(yàn)證壁壘下保護(hù)數(shù)據(jù)庫，因此他們能夠獲得屬于安哥拉出租車應(yīng)用程序T'Leva用戶的數(shù)據(jù)，包括駕駛員和乘客之間交換的消息以及駕駛員的全名，電話號(hào)碼，目的地和目的地。接送地點(diǎn)。

　　而且，研究人員發(fā)現(xiàn)，應(yīng)用程序開發(fā)人員在發(fā)送推送通知和直接訪問應(yīng)用程序中嵌入了發(fā)送推送通知和訪問云存儲(chǔ)服務(wù)所需的密鑰。這不僅可以使不良行為者更容易代表開發(fā)人員向所有用戶發(fā)送惡意通知，而且還可以被武器化以將毫無戒心的用戶定向到網(wǎng)絡(luò)釣魚頁面，從而成為更復(fù)雜威脅的切入點(diǎn)。

　　同樣，在沒有任何保護(hù)措施的情況下暴露云存儲(chǔ)訪問密鑰，也為其他攻擊打開了大門，在這種攻擊中，攻擊者可以獲取云中存儲(chǔ)的所有數(shù)據(jù)-在Screen Recorder和iFax這兩個(gè)應(yīng)用程序中都觀察到了這種行為，從而使研究人員能夠可以訪問屏幕錄像和傳真文檔。

　　Check Point指出，只有少數(shù)應(yīng)用程序響應(yīng)負(fù)責(zé)任的披露而更改了配置，這意味著其他應(yīng)用程序的用戶仍然容易受到欺詐和身份盜竊等潛在威脅的影響，更不用說利用被盜的密碼來訪問其他帳戶欺詐地。

　　Check Point移動(dòng)研究經(jīng)理Aviran Hazum說：“最終，受害者容易受到許多不同的攻擊媒介的攻擊，例如冒充，識(shí)別盜竊，網(wǎng)絡(luò)釣魚和服務(wù)刷卡?！彼a(bǔ)充說，該研究“揭示了應(yīng)用程序開發(fā)人員所處的令人不安的現(xiàn)實(shí)不僅他們的數(shù)據(jù)有風(fēng)險(xiǎn)，而且私人用戶的數(shù)據(jù)也有風(fēng)險(xiǎn)?！?/p>

　　相關(guān)資訊：

　　Eufy攝像頭用戶看到其它用戶影像，系服務(wù)器錯(cuò)誤導(dǎo)致

　　從IPv4過渡到IPv6，這些網(wǎng)絡(luò)知識(shí)最好要了解！

　　本文鏈接：http://maisonbaluchon.cn/news/posts/28104.html

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。