Google Play 商店中最受欢迎的 14 个应用程序已经暴露了敏感的用户数据。
这网络新闻研究小组据报道,由于 Firebase 配置错误,14 个顶级 Android 应用程序正在泄露用户数据。这些应用程序已被下载约 1.4 亿次,暴露的数据可能包括用户名和密码、电子邮件地址、财务记录和用户的真实姓名等详细信息。
Firebase 是开发人员用来创建应用程序和浏览分析的工具,并附带一些其他相关功能,例如托管和实时云存储。有抱负的开发人员已经能够使用该平台在云中存储与其应用程序相关的信息;数据、凭证、令牌等。
CyberNews 报告强调的 14 个应用程序被发现受到 Firebase 错误配置的影响。因此,他们的实时数据库是不安全的,任何拥有正确 URL 的人都可以访问它们,无需任何身份验证。从本质上讲,不良行为者和窥探者公开邀请他们在闲暇时梳理用户信息。
Google Play 商店泄露的范围也令人震惊——各种各样的应用程序都受到了影响,有些应用程序的最初目的甚至被取消或颠覆。例如,一个拥有 50 万用户的星座工具暴露了私人消息和详细信息,而一个旨在监视您孩子的位置跟踪器实际上正在实时广播数据 - 这是一个可怕的想法!使用这些应用程序的任何人都可能将其最私密的数据暴露给任何有权访问该应用程序数据库的不良行为者。因此,泄密事件可能会产生深远的影响。
对于受害者来说,他们的数据可能会被不良行为者用于机会性网络钓鱼活动。网络犯罪分子经常制作社交工程电子邮件或即时消息,试图诱骗受害者,如果犯罪分子掌握了从泄密事件中收集到的详细信息(例如 Google Play 事件),这些通信就会变得更有说服力。
一个持续存在的问题
CyberNews 已就此次灾难性违规事件联系谷歌,但没有收到任何回复。这并不完全令人惊讶,但令人沮丧 - 十四个受影响的应用程序中有九个仍在泄漏数据!
同样令人担忧的是,由于 Firebase 是跨平台的,因此使用该工具的 iOS 应用程序也可能会遇到类似的错误配置。
不幸的是,用户自己几乎无能为力。在 CyberNews 提醒他们注意这个问题后,应用程序开发人员已经堵住了泄露的数据库,但从长远来看,这种回顾性行动并不能解决问题。开发人员需要在项目的编码过程中积极主动,并确保从第一天起就优先考虑隐私和安全,并采取适当的控制和流程,并特别注意正确配置保护用户数据的数据库。
然而,为了加快开发进程,这些安全考虑因素常常被忽视。
令人震惊的是,数百万 Android 用户的隐私因为可能走捷径而面临风险——这种对数字安全的态度既危险又幼稚。不幸的是,这并不是 App Store 第一次因错误配置的第三方服务和乏善可陈的控件而受到损害。
2021 年 5 月,网络安全公司 Check Point Research 报告称,23 个 Android 应用正在泄露密码、图像和聊天日志等敏感数据。超过 1 亿用户可能受到影响,而他们就像今天的受害者一样,只能等待开发人员堵住漏洞……并开始认真对待消费者安全。