開發(fā)人員錯(cuò)誤配置數(shù)據(jù)庫,致1億用戶數(shù)據(jù)泄露
近日,Check Point研究人員發(fā)現(xiàn):過去幾個(gè)月,共有23個(gè)APP的手機(jī)應(yīng)用開發(fā)者在配置和融入第三方云服務(wù)時(shí),沒有遵循最佳實(shí)踐導(dǎo)致開發(fā)者內(nèi)部資源數(shù)據(jù)和用戶個(gè)人數(shù)據(jù)處于危險(xiǎn)中。大多數(shù)APP下載量超過1000萬,累計(jì)有超過1億用戶數(shù)據(jù)泄露,包括郵件地址、密碼、隱私會話、設(shè)備位置、用戶id等敏感信息。
實(shí)時(shí)數(shù)據(jù)庫可以讓應(yīng)用開發(fā)者在云端保存數(shù)據(jù),確保與每個(gè)連接的客戶端實(shí)時(shí)同步。該服務(wù)可以解決應(yīng)用開發(fā)過程中的許多問題,確保數(shù)據(jù)庫支持所有的客戶端平臺。但研究人員發(fā)現(xiàn)許多應(yīng)用開發(fā)者并沒有配置實(shí)時(shí)數(shù)據(jù)庫的基本功能——認(rèn)證。
研究人員發(fā)現(xiàn),從這些開放的數(shù)據(jù)庫中可以恢復(fù)出郵件地址、密碼、隱私會話、設(shè)備位置、用戶id等敏感信息。如果惡意攻擊者獲得了這些數(shù)據(jù)的訪問權(quán)限,就可能引發(fā)欺詐、身份竊取等惡意行為。
云服務(wù)是開發(fā)者或安裝的應(yīng)用用來分享文件的一種很好的解決方案。比如,兩個(gè)APP可以通過云服務(wù)共享截圖信息。但如果開發(fā)者將密鑰和訪問密鑰嵌入到服務(wù)中,那么通過云服務(wù)共享數(shù)據(jù)也可能會引發(fā)風(fēng)險(xiǎn)。研究人員分析發(fā)現(xiàn),通過應(yīng)用的文件,可以恢復(fù)出授予云服務(wù)文件訪問權(quán)限的密鑰。
許多開發(fā)者也知道在應(yīng)用中存儲云服務(wù)秘鑰是不安全的。研究人員分析多個(gè)APP發(fā)現(xiàn),許多開發(fā)者嘗試通過一些方法來進(jìn)行補(bǔ)救,但是并沒有修復(fù)密鑰存儲的問題。比如,Jadx應(yīng)用用base64編碼來隱藏密鑰,但是base64解碼非常容易,此外甚至不需要解碼,只需要復(fù)制base64編碼的秘鑰就可以訪問對應(yīng)的內(nèi)容。
聲明:免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)
送郵件至:operations@xinnet.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)
需注明出處:新網(wǎng)idc知識百科