DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
100 triệu dữ liệu cá nhân của người dùng Android bị rò rỉ
Các nhà nghiên cứu bảo mật cho biết dữ liệu cá nhân của hơn 100 triệu người dùng Android đã bị lộ do việc cấu hình sai của các dịch vụ đám mây.
Dữ liệu được tìm thấy trong cơ sở dữ liệu thời gian thực không được bảo vệ được sử dụng bởi 23 ứng dụng với số lượt tải xuống từ 10.000 đến 10 triệu và cũng bao gồm tài nguyên nội bộ của nhà phát triển.
Mặc dù cơ sở dữ liệu thời gian thực bị định cấu hình sai không phải là điều đáng ngạc nhiên, nhưng phát hiện này cho thấy một số nhà phát triển Android không tuân theo các phương pháp bảo mật cơ bản để hạn chế quyền truy cập vào cơ sở dữ liệu của ứng dụng.
Một số lượng lớn các ứng dụng di động tồn tại các cấu hình sai cho thấy đây là một vấn đề phổ biến có thể dễ dàng bị lợi dụng cho các mục đích xấu.
Các nhà phát triển ứng dụng sử dụng cơ sở dữ liệu thời gian thực để lưu trữ dữ liệu trên đám mây và đồng bộ hóa dữ liệu đó trong thời gian thực với các máy khách được kết nối.
Các nhà nghiên cứu của Check Point phát hiện thấy một số cơ sở dữ liệu này không được bảo vệ và bất kỳ ai cũng có thể truy cập thông tin cá nhân, và một số thông tin nhạy cảm của hơn 100 triệu người dùng.
Dữ liệu bao gồm tên, địa chỉ email, ngày sinh, tin nhắn trò chuyện, vị trí, giới tính, mật khẩu, ảnh, chi tiết thanh toán, số điện thoại, thông báo đẩy.
Một số ứng dụng tiết lộ loại thông tin này hiện có trong Google Play và có hơn 10 triệu lượt cài đặt bao gồm các ứng dụng khá phổ biến như Logo Maker, Astro Guru. Các ứng dụng khác, như T'Leva, ít phổ biến hơn nhưng vẫn có cơ sở người dùng đáng kể với số lượt cài đặt từ 10.000 đến 500.000.
Các nhà nghiên cứu cũng tìm thấy các thông tin nhạy cảm liên quan đến nhà phát triển được nhúng trong một số ứng dụng được thử nghiệm. Trong một ứng dụng, nhà nghiên cứu đã tìm thấy thông tin đăng nhập cho các dịch vụ thông báo đẩy.
Trong ứng dụng Screen Recorder trên cửa hàng Google Play với hơn 10 triệu lượt cài đặt, các nhà nghiên cứu đã tìm thấy các khóa lưu trữ đám mây giúp truy cập vào ảnh chụp màn hình của người dùng từ thiết bị.
Ngoài ra, ứng dụng iFax Android cũng lưu trữ các khóa lưu trữ đám mây và cơ sở dữ liệu chứa các tài liệu và chuyển fax của hơn 500.000 người dùng.
Một số nhà phát triển ứng dụng cũng sử dụng các loại mã hóa như base64 để bảo vệ dữ liệu, nhưng điều này là không đủ để bảo vệ dữ liệu này. Do mã hóa base64 có thể dễ dàng được giải mã.
Check Point cho biết: "Ngay cả khi ứng dụng không sử dụng các khóa ở dạng văn bản rõ, tất cả những gì cần thiết là tìm đoạn mã khởi tạo giao diện dịch vụ đám mây, phần lớn nhận các đoạn mã đó chứa các khóa như các tham số và chạy các chức năng theo giá trị của các tham số này. Cuối cùng, nếu các khóa được nhúng vào ứng dụng, chúng tôi sẽ dễ dàng có được giá trị của các khóa này."
Trong số 23 ứng dụng mà các nhà nghiên cứu của Check Point đã phân tích, rất nhiều ứng dụng có hơn 10 triệu lượt cài đặt trên Google Play và hầu hết trong số đó có cơ sở dữ liệu thời gian thực không được bảo vệ, làm lộ thông tin nhạy cảm của người dùng.
Mặc dù vấn đề không phải là mới, nhưng điều đáng ngạc nhiên là các ứng dụng rất phổ biến lại không thực thi các phương pháp bảo mật cơ bản để bảo vệ người dùng và dữ liệu.
Dữ liệu được tìm thấy trong cơ sở dữ liệu thời gian thực không được bảo vệ được sử dụng bởi 23 ứng dụng với số lượt tải xuống từ 10.000 đến 10 triệu và cũng bao gồm tài nguyên nội bộ của nhà phát triển.
Mặc dù cơ sở dữ liệu thời gian thực bị định cấu hình sai không phải là điều đáng ngạc nhiên, nhưng phát hiện này cho thấy một số nhà phát triển Android không tuân theo các phương pháp bảo mật cơ bản để hạn chế quyền truy cập vào cơ sở dữ liệu của ứng dụng.
Một số lượng lớn các ứng dụng di động tồn tại các cấu hình sai cho thấy đây là một vấn đề phổ biến có thể dễ dàng bị lợi dụng cho các mục đích xấu.
Các nhà phát triển ứng dụng sử dụng cơ sở dữ liệu thời gian thực để lưu trữ dữ liệu trên đám mây và đồng bộ hóa dữ liệu đó trong thời gian thực với các máy khách được kết nối.
Các nhà nghiên cứu của Check Point phát hiện thấy một số cơ sở dữ liệu này không được bảo vệ và bất kỳ ai cũng có thể truy cập thông tin cá nhân, và một số thông tin nhạy cảm của hơn 100 triệu người dùng.
Dữ liệu bao gồm tên, địa chỉ email, ngày sinh, tin nhắn trò chuyện, vị trí, giới tính, mật khẩu, ảnh, chi tiết thanh toán, số điện thoại, thông báo đẩy.
Một số ứng dụng tiết lộ loại thông tin này hiện có trong Google Play và có hơn 10 triệu lượt cài đặt bao gồm các ứng dụng khá phổ biến như Logo Maker, Astro Guru. Các ứng dụng khác, như T'Leva, ít phổ biến hơn nhưng vẫn có cơ sở người dùng đáng kể với số lượt cài đặt từ 10.000 đến 500.000.
Các nhà nghiên cứu cũng tìm thấy các thông tin nhạy cảm liên quan đến nhà phát triển được nhúng trong một số ứng dụng được thử nghiệm. Trong một ứng dụng, nhà nghiên cứu đã tìm thấy thông tin đăng nhập cho các dịch vụ thông báo đẩy.
Trong ứng dụng Screen Recorder trên cửa hàng Google Play với hơn 10 triệu lượt cài đặt, các nhà nghiên cứu đã tìm thấy các khóa lưu trữ đám mây giúp truy cập vào ảnh chụp màn hình của người dùng từ thiết bị.
Ngoài ra, ứng dụng iFax Android cũng lưu trữ các khóa lưu trữ đám mây và cơ sở dữ liệu chứa các tài liệu và chuyển fax của hơn 500.000 người dùng.
Một số nhà phát triển ứng dụng cũng sử dụng các loại mã hóa như base64 để bảo vệ dữ liệu, nhưng điều này là không đủ để bảo vệ dữ liệu này. Do mã hóa base64 có thể dễ dàng được giải mã.
Check Point cho biết: "Ngay cả khi ứng dụng không sử dụng các khóa ở dạng văn bản rõ, tất cả những gì cần thiết là tìm đoạn mã khởi tạo giao diện dịch vụ đám mây, phần lớn nhận các đoạn mã đó chứa các khóa như các tham số và chạy các chức năng theo giá trị của các tham số này. Cuối cùng, nếu các khóa được nhúng vào ứng dụng, chúng tôi sẽ dễ dàng có được giá trị của các khóa này."
Trong số 23 ứng dụng mà các nhà nghiên cứu của Check Point đã phân tích, rất nhiều ứng dụng có hơn 10 triệu lượt cài đặt trên Google Play và hầu hết trong số đó có cơ sở dữ liệu thời gian thực không được bảo vệ, làm lộ thông tin nhạy cảm của người dùng.
Mặc dù vấn đề không phải là mới, nhưng điều đáng ngạc nhiên là các ứng dụng rất phổ biến lại không thực thi các phương pháp bảo mật cơ bản để bảo vệ người dùng và dữ liệu.
Theo: bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: