网络安全公司 Check Point Research 在周四发表了一份报告,在这份报告中 Check Point Research 表示,至少有 23 个热门的 Android 应用程序包含各种「第三方云服务的错误配置」。而这些严重的云服务错误配置,导致超过 1 亿用户的个人数据被泄漏。
云服务如今已被各种在线服务和应用程序广泛使用,而且在疫情的影响下,人们远程工作和学习也促使云服务被更加频繁地使用。云服务在数据管理、存储和处理方面都非常有效,但只要有一次访问或授权上出现疏忽就有可能导致所存储的各种数据被泄漏。
如今的应用程序通常会与实时数据库进行整合,以存储和同步不同平台的数据。然而,Check Point Research 的报告显示,有很多热门应用程序的开发者未能确保云服务认证机制被准确配置。
报告显示,这 23 款 Android 应用涵盖了打车应用、设计软件、屏幕录制工具、传真服务和天文软件—— 泄露的数据包括电子邮件记录、通信信息、位置信息、用户 ID、密码和图像。
在这些应用程序中,有 13 个是敏感数据在不安全的云端设置下可以被公开访问。这些应用程序的下载量分别在 1 万到 1 千万之间。
以打车应用程序为例,不法分子向该应用程序的数据库发送一个简单的请求,就可以调出司机和乘客之间发送的信息、姓名、电话号码以及上、下客地点。
为屏幕录制工具和传真应用程序所提供的后台数据管理的云服务同样也没有得到足够的安全保障,研究人员通过分析应用程序,能够恢复存储的视频和音频,以及传真文件的密钥。
Check Point Research 表示:"这种实时数据库的错误配置并不罕见,但此次问题影响的范围太广。如果不法分子获得了这些数据,就有可能导致数据被清除、甚至是欺诈和身份窃取"。
Check Point Research 在披露这些问题之前,已经将这些错误配置的信息通知给了应用程序的开发者,其中一些开发者已经推出了新版本加强了安全性。