網(wǎng)絡(luò)安全公司 Check Point Research 在周四發(fā)表了一份報告，在這份報告中 Check Point Research 表示，至少有 23 個熱門的 Android 應(yīng)用程序包含各種「第三方云服務(wù)的錯誤配置」。而這些嚴(yán)重的云服務(wù)錯誤配置，導(dǎo)致超過 1 億用戶的個人數(shù)據(jù)被泄漏。

[[400882]]

云服務(wù)如今已被各種在線服務(wù)和應(yīng)用程序廣泛使用，而且在疫情的影響下，人們遠(yuǎn)程工作和學(xué)習(xí)也促使云服務(wù)被更加頻繁地使用。云服務(wù)在數(shù)據(jù)管理、存儲和處理方面都非常有效，但只要有一次訪問或授權(quán)上出現(xiàn)疏忽就有可能導(dǎo)致所存儲的各種數(shù)據(jù)被泄漏。

如今的應(yīng)用程序通常會與實(shí)時數(shù)據(jù)庫進(jìn)行整合，以存儲和同步不同平臺的數(shù)據(jù)。然而，Check Point Research 的報告顯示，有很多熱門應(yīng)用程序的開發(fā)者未能確保云服務(wù)認(rèn)證機(jī)制被準(zhǔn)確配置。

報告顯示，這 23 款 Android 應(yīng)用涵蓋了打車應(yīng)用、設(shè)計軟件、屏幕錄制工具、傳真服務(wù)和天文軟件—— 泄露的數(shù)據(jù)包括電子郵件記錄、通信信息、位置信息、用戶 ID、密碼和圖像。

在這些應(yīng)用程序中，有 13 個是敏感數(shù)據(jù)在不安全的云端設(shè)置下可以被公開訪問。這些應(yīng)用程序的下載量分別在 1 萬到 1 千萬之間。

以打車應(yīng)用程序?yàn)槔?，不法分子向該?yīng)用程序的數(shù)據(jù)庫發(fā)送一個簡單的請求，就可以調(diào)出司機(jī)和乘客之間發(fā)送的信息、姓名、電話號碼以及上、下客地點(diǎn)。

為屏幕錄制工具和傳真應(yīng)用程序所提供的后臺數(shù)據(jù)管理的云服務(wù)同樣也沒有得到足夠的安全保障，研究人員通過分析應(yīng)用程序，能夠恢復(fù)存儲的視頻和音頻，以及傳真文件的密鑰。

Check Point Research 表示："這種實(shí)時數(shù)據(jù)庫的錯誤配置并不罕見，但此次問題影響的范圍太廣。如果不法分子獲得了這些數(shù)據(jù)，就有可能導(dǎo)致數(shù)據(jù)被清除、甚至是欺詐和身份竊取"。

Check Point Research 在披露這些問題之前，已經(jīng)將這些錯誤配置的信息通知給了應(yīng)用程序的開發(fā)者，其中一些開發(fā)者已經(jīng)推出了新版本加強(qiáng)了安全性。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Android 應(yīng)用因云端配置錯誤，致使上億用戶數(shù)據(jù)泄漏

本文地址：https://www.oschina.net/news/142464/android-exposed-the-data-of-over-100-million-users