Tietoturvayhtiö Check Point Software Technologiesin tutkimusyksikkö Check Point Research tutki 23 Google Play -kaupassa jaettua Android-sovellusta ja havaitsi, että näiden mobiilisovellusten kehittäjät ovat mahdollisesti vaarantaneet yhteenlaskettuna yli 100 miljoonan käyttäjän henkilötiedot.
Check Pointin tietoturvatutkijoiden mukaan sovelluskehittäjät olivat konfiguroineet virheellisesti sovellusten käyttämiä kolmansien osapuolten pilvipalveluja, jotka tarjoavat sovelluksille palveluja esimerkiksi tietokantojen, ilmoitusten lähettämisen ja pilvitallennuksen osalta.
MAINOS (ARTIKKELI JATKUU ALLA)
Sovelluskehittäjät osaamattomuuttaan eivät esimerkiksi olleet yksinkertaisesti ottaneet käyttöön autentikointia tai olivat sisällyttäneet sovelluksiinsa luettavassa muodossa olevia tietokanta-, ilmoitus- ja pilvitallennuspalvelujen tunnistusavaimia, joiden perusteella hyökkääjien olisi ollut mahdollista päästä käsiksi sovellusten näihin tallentamiin tietoihin tai lähettämään ilmoituksia sovelluksen nimissä.
Vaarantuneisiin käyttäjien henkilökohtaisiin tietoihin sisältyviä tietoja ovat muun muassa sähköpostiosoitteet, yksityiset viestit, sijaintitiedot, salasanat ja valokuvia. Tietojen mahdollinen paljastuminen voisi johtaa ainakin identeettivarkauksien tai kohdistettujen kalastushyökkäysten yrittämiseen mahdollisten vakavampien seurausten ohella.
Reaaliaikaisten tietokantojen virheellisen sovelluksissa konfiguroinnin myötä esimerkiksi yli 10 miljoonaa kertaa ladattu Astro Guru -sovellus vaaransi käyttäjien tiedot (nimi, syntymäaika, sukupuoli, sijainti, sähköposti, maksutiedot), kuten teki myös samoin yli 10 miljoonaa kertaa ladattu Logo Maker (sähköposti, salasana, käyttäjänimi, käyttäjätunniste). Kolmas tietokannan tiedot paljastanut sovellus oli 50 000 latauksen taksisovellus T’Leva, jonka osalta paljastuivat kuskien ja matkustajien väliset viestit, nimet, puhelinnumerot ja matkojen lähtö- ja päättymispaikat.
MAINOS (ARTIKKELI JATKUU ALLA)
Yhteensä tietokantoihin liittyviä ongelmia tietojen paljastumisesta löytyi 13 eri sovelluksesta.
Muun muassa näistä sovelluksista löytyi tietojen paljastumisuhan luovia virheitä.
Lisäksi sovellusten käyttämän pilvitallennuksen osalta sisältöihin pääsyn tarjoavat tunnistusavaimet puolestaan paljastuivat läpikäydyistä sovelluksista kahdesta sovelluksesta. Yli 10 miljoonan latauksen Screen Recorder -sovelluksen osalta paljastuminen tarjosi pääsyn kaikkiin sovelluksen kautta taltioituihin, pilvipalveluun tallennettuihin älypuhelimen näyttövideoihin. 500 000 latauksen iFax-sovelluksen osalta puolestaan tunnistusavaimella pääsi käsiksi sovelluksella lähetettyihin/vastaanotettuihin pilvipalveluun tallennettuihin faksilähetyksiin.
Tietokantojen ja pilvitallennuksen lisäksi osa sovelluksia paljasti myös käyttämiensä ilmoitusten lähetyspalvelujen tunnistusavaimia.
Check Point Research kertoo olleensa yhteydessä Googleen ja sovelluskehittäjiin löytämistään ongelmista ennen löydöstensä tuomista nyt julki. Check Pointin mukaan sovelluksista vain yhden osalta sen kehittäjä on sittemmin korjannut tilanteen.
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »