5月21日消息，Check Point研究人員在分析報(bào)告中表示，約1億用戶的隱私數(shù)據(jù)遭泄露，原因是多個(gè)安卓應(yīng)用中的錯(cuò)誤配置，導(dǎo)致這些數(shù)據(jù)可能成為惡意行為者眼中的“肥肉”。

Check Point在分析報(bào)告中說(shuō)："由于應(yīng)用程序在配置和集成第三方云服務(wù)時(shí)沒(méi)有遵循最佳做法，約1億用戶的個(gè)人數(shù)據(jù)被暴露。”

"這種類型的錯(cuò)誤不僅影響用戶，還會(huì)影響開發(fā)人員。錯(cuò)誤的配置使用戶的個(gè)人數(shù)據(jù)和開發(fā)人員的內(nèi)部資源，如更新機(jī)制的訪問(wèn)權(quán)、存儲(chǔ)等置于風(fēng)險(xiǎn)之中。"

這一發(fā)現(xiàn)來(lái)自于對(duì)官方Google Play商店中23款安卓應(yīng)用的研究，這些應(yīng)用的下載量從1萬(wàn)到1000萬(wàn)不等，如Astro Guru、iFax、Logo Maker、Screen Recorder和T'Leva。

據(jù)Check Point稱，這些問(wèn)題源包括對(duì)實(shí)時(shí)數(shù)據(jù)庫(kù)、推送通知和云存儲(chǔ)密鑰的錯(cuò)誤配置，會(huì)導(dǎo)致電子郵件、電話號(hào)碼、聊天信息、位置、密碼、備份、瀏覽器歷史記錄和照片泄漏。

研究人員表示，由于數(shù)據(jù)庫(kù)沒(méi)有使用認(rèn)證屏障保護(hù)，他們能夠獲得安哥拉打車應(yīng)用T'Leva用戶的數(shù)據(jù)，包括司機(jī)和乘客之間的信息交流，以及乘客的全名、電話號(hào)碼、目的地和接車地點(diǎn)。

此外，研究人員發(fā)現(xiàn)，應(yīng)用程序開發(fā)人員在應(yīng)用中嵌入了發(fā)送推送通知和訪問(wèn)云存儲(chǔ)服務(wù)所需的密鑰。這不僅可以使惡意行為者更容易假冒開發(fā)者向所有用戶發(fā)送惡意通知，還可以被利用來(lái)引導(dǎo)毫無(wú)戒心的用戶進(jìn)入釣魚網(wǎng)頁(yè)，從而中招更復(fù)雜的威脅行為。

同時(shí)，在應(yīng)用程序中嵌入云存儲(chǔ)訪問(wèn)密鑰，也向其他攻擊敞開了大門，對(duì)手可以掌握存儲(chǔ)在云中的所有數(shù)據(jù)。研究人員在屏幕錄像機(jī)和iFax這兩個(gè)應(yīng)用程序中觀察到這種行為，他們通過(guò)該漏洞可以訪問(wèn)屏幕錄像和傳真文件。

Check Point指出，只有少數(shù)應(yīng)用程序在該錯(cuò)誤披露后改變了配置。剩下的大部分應(yīng)用程序的用戶仍面臨著危險(xiǎn)，如欺詐和身份盜竊。

Check Point移動(dòng)研究經(jīng)理Aviran Hazum說(shuō)："最終，受害者容易受到許多不同攻擊載體的攻擊，如冒充、身份盜竊、網(wǎng)絡(luò)釣魚和盜刷，"他補(bǔ)充說(shuō)，這項(xiàng)研究 "揭示了一個(gè)令人不安的現(xiàn)實(shí)，應(yīng)用程序開發(fā)人員不僅將用戶的正常數(shù)據(jù)置于風(fēng)險(xiǎn)中，甚至還包括個(gè)人隱私數(shù)據(jù)。"