Check Point研究人員發(fā)現(xiàn)移動APP開發(fā)人員錯誤配置第三方服務(wù)，致使超過1億用戶數(shù)據(jù)泄露。

Check Point研究人員發(fā)現(xiàn)過去幾個(gè)月手機(jī)應(yīng)用開發(fā)者在配置和融入第三方云服務(wù)時(shí)沒有遵循最佳實(shí)踐導(dǎo)致開發(fā)者內(nèi)部資源數(shù)據(jù)和用戶個(gè)人數(shù)據(jù)處于危險(xiǎn)中。

錯誤配置實(shí)時(shí)數(shù)據(jù)庫

實(shí)時(shí)數(shù)據(jù)庫可以讓應(yīng)用開發(fā)者在云端保存數(shù)據(jù)，確保與每個(gè)連接的客戶端實(shí)時(shí)同步。該服務(wù)可以解決應(yīng)用開發(fā)過程中的許多問題，確保數(shù)據(jù)庫支持所有的客戶端平臺。但研究人員發(fā)現(xiàn)許多應(yīng)用開發(fā)者并沒有配置實(shí)時(shí)數(shù)據(jù)庫的基本功能——認(rèn)證。

圖1 – 谷歌play中使用開放實(shí)時(shí)數(shù)據(jù)庫的APP

研究人員發(fā)現(xiàn)從這些開放的數(shù)據(jù)庫中可以恢復(fù)出郵件地址、密碼、隱私會話、設(shè)備位置、用戶id等敏感信息。如果惡意攻擊者獲得了這些數(shù)據(jù)的訪問權(quán)限，就可能引發(fā)欺詐、身份竊取等惡意行為。

圖2 – logo maker用戶的郵件地址、用戶名、密碼

推送通知

推送通知管理器是移動應(yīng)用中廣泛使用的服務(wù)。開發(fā)者需要發(fā)送推動的通知給用戶。許多推送通知服務(wù)都需要一個(gè)key來識別請求提交者的身份。研究人員發(fā)現(xiàn)有些應(yīng)用將這些key嵌入在應(yīng)用文件中。

圖3 – 推送通知服務(wù)的憑證嵌入在應(yīng)用中

推送通知服務(wù)的數(shù)據(jù)一般并不敏感，但攻擊者可能更加關(guān)注用開發(fā)者的身份去推送通知的能力，比如用來推送惡意信息。

云服務(wù)

云服務(wù)是開發(fā)者或安裝的應(yīng)用用來分享文件的一種很好的解決方案。比如，兩個(gè)APP可以通過云服務(wù)共享截圖信息。但如果開發(fā)者將密鑰和訪問密鑰嵌入到服務(wù)中，那么通過云服務(wù)共享數(shù)據(jù)也可能會引發(fā)風(fēng)險(xiǎn)。研究人員分析發(fā)現(xiàn)，通過應(yīng)用的文件，可以恢復(fù)出授予云服務(wù)文件訪問權(quán)限的密鑰。

iFax APP不僅將云存儲密鑰嵌入在APP中，還保存了所有的傳真?zhèn)鬏?。研究人員分析該APP后發(fā)現(xiàn)可以訪問超過50萬用戶發(fā)送的所有文件。

圖4 – 谷歌play中暴露云存儲密鑰的應(yīng)用

圖5 –iFax app上傳的文件

許多開發(fā)者也知道在應(yīng)用中存儲云服務(wù)秘鑰是不安全的。研究人員分析多個(gè)APP發(fā)現(xiàn)，許多開發(fā)者嘗試通過一些方法來進(jìn)行補(bǔ)救，但是并沒有修復(fù)密鑰存儲的問題。比如，Jadx應(yīng)用用base64編碼來隱藏密鑰，但是base64解碼非常容易，此外甚至不需要解碼，只需要復(fù)制base64編碼的秘鑰就可以訪問對應(yīng)的內(nèi)容。

總結(jié)

研究人員分析發(fā)現(xiàn)一共有23個(gè)APP存在云存儲密鑰嵌入和暴露實(shí)時(shí)數(shù)據(jù)庫的配置錯誤問題，大多數(shù)APP下載量超過1000萬，累計(jì)有超過1億用戶數(shù)據(jù)泄露，包括郵件地址、密碼、隱私會話、設(shè)備位置、用戶id等敏感信息。

本文翻譯自：

https://research.checkpoint.com/2021/mobile-app-developers-misconfiguration-of-third-party-services-leave-personal-data-of-over-100-million-exposed/