安全漏洞和bug時有發生,這本就是軟件開發過程的一部分,但缺陷是由糟糕的編程人員造成的時候,這個問題就會特別令人生氣。在應用程序中硬編碼認證密鑰或未能在在線數據庫中設置認證是開發人員無法接受的,然而,這是一個相當普遍的現象。
周四,網絡安全公司Check Point Research發布了一份報告,詳細介紹了23個Android系統的不良雲配置和實施,可能使數百萬用戶的數據面臨風險。可能泄露的信息包括電子郵件記錄、聊天信息、位置信息、圖像、用戶ID和密碼。
一半以上的應用程序的下載量都超過1000萬,因此受影響的用戶範圍很大,Check Point估計,這些應用程序可能已經暴露了超過1億用戶的數據。
大多數應用程序都有實時數據庫,開發人員對公眾敞開了大門,這個問題非常常見且分佈廣泛,它的研究人員發現,在他們調查的一半以上的應用程序的數據庫中,他們可以自由訪問信息。
技術人員還發現,將近一半的應用程序將其雲存儲密鑰嵌入其應用程序的代碼中。例如,CPR從一個名為 “iFax”的傳真應用程序中獲取了密鑰,這將使他們能夠訪問該應用程序的50多萬用戶發送的每一份傳真。出於道德原因,研究人員沒有訪問這些記錄,但通過代碼分析驗證了他們可以這樣做。
他們發現的一個不太常見的問題仍然值得注意,那就是硬編碼的推送通知鍵。嵌入的通知密鑰並不像將雲存儲密鑰編碼到程序中那麼嚴重,但CPR解釋說,這也是同樣糟糕的一種做法。
“雖然推送通知服務的數據並不總是敏感的,但代表開發者發送通知的能力足以引誘惡意的行為者。想象一下,如果一個新聞輸出應用程序向其用戶推送一個假的新聞條目通知,將他們引向一個釣魚網頁,要求他們更新訂閱。由於該通知源自官方應用程序,用戶不會懷疑任何事情,因為他們確信這個通知是由開發人員發送的”。
Check Point表示,在披露這些漏洞之前,它已經通知了應用程序製造商,而且有幾個製造商跟進了更新,以修復這些問題。然而,被調查的23個應用只是Google Play上287萬個應用中的一個微不足道的樣本,可能有更多的人在使用這些同樣糟糕的做法。
