“Nedodržováním postupů při konfiguraci a integraci cloudových služeb třetích stran do aplikací, byla odhalena soukromá data milionů uživatelů.” Takový je závěr výzkumníků Check Point ve zveřejněné analýze. “V některých případech se zneužití týká pouze uživatelů, ale v tomto případě i vývojářů. Chybné konfigurace ohrožují osobní údaje uživatelů a vnitřní zdroje vývojářů (přístup k aktualizačním mechanismům a úložišti).”
Pod drobnohled se dostalo celkem 23 aplikací pro Android dostupných v obchodě Google Play. Počet stažení se pohybuje od 10 000 do 10 milionů.
Jedná se například o:
- Astro Guru
- iFax
- Logo Maker
- Screen Recorder
- T’Leva
Podle Check Pointu problémy vyplývají z nesprávné konfigurace databází v reálném čase, push notifikací a klíčů cloudového úložiště. Výsledkem je kompromitace e-mailů, telefonních čísel, zpráv z chatu, umístění, hesel, záloh, historie prohlížeče a fotografií.
Útočníkům se například podařilo získat data patřící uživatelům angolské taxi aplikace T’Leva. Data obsahovala zprávy mezi řidiči a cestujícími, jména řidičů, telefonní čísla, konkrétní destinace a místa vyzvednutí. Vědci navíc zjistili, že vývojáři vložili klíče vyžadované pro odesílání oznámení push a přístup ke službám cloudového úložiště přímo do aplikací. To útočníkům nejen usnadňuje odeslat falešné oznámení všem uživatelům jménem vývojáře, ale také nasměrovat nic netušící uživatele na phishingovou stránku. Zpřístupnění přístupových klíčů cloudového úložiště dává možnost útočníkovi zmocnit se všech dat uložených v cloudu. K tomu došlo u aplikací Screen Recorder a iFax.
Check Point poznamenává, že pouze několik aplikací změnilo konfiguraci v reakci na zveřejnění zranitelností. Uživatelé aplikací tak zůstávají i nadále vystaveni možným hrozbám.
„Uživatelé jsou zranitelní vůči různým vektorům útoků – vydávání se za jinou osobu, krádež identity, phishing a podobně,“ řekl Aviran Hazum, manažer mobilního výzkumu Check Point. Hazum dodává, že studie „vrhá světlo na znepokojivou realitu, kde vývojáři riskují únik svých interních dat, ale především dat soukromých uživatelů. “
