23 aplikací pro Android odhalilo osobní údaje více než 100 milionů uživatelů

by | Čvn 12, 2021 | Mobilní zařízení a sociální sítě, Nejnovější | 0 comments

Špatná konfigurace některých aplikací pro Android je příčinou úniku osobních dat. Zařízení se tak mohou potenciálně stát lákavým cílem pro útočníky.

“Nedodržováním postupů při konfiguraci a integraci cloudových služeb třetích stran do aplikací, byla odhalena soukromá data milionů uživatelů.” Takový je závěr výzkumníků Check Point ve zveřejněné analýze. “V některých případech se zneužití týká pouze uživatelů, ale v tomto případě i vývojářů. Chybné konfigurace ohrožují osobní údaje uživatelů a vnitřní zdroje vývojářů (přístup k aktualizačním mechanismům a úložišti).”

Pod drobnohled se dostalo celkem 23 aplikací pro Android dostupných v obchodě Google Play. Počet stažení se pohybuje od 10 000 do 10 milionů.

Jedná se například o:

  • Astro Guru
  • iFax
  • Logo Maker
  • Screen Recorder
  • T’Leva

Podle Check Pointu problémy vyplývají z nesprávné konfigurace databází v reálném čase, push notifikací a klíčů cloudového úložiště. Výsledkem je kompromitace e-mailů, telefonních čísel, zpráv z chatu, umístění, hesel, záloh, historie prohlížeče a fotografií.

Útočníkům se například podařilo získat data patřící uživatelům angolské taxi aplikace T’Leva. Data obsahovala zprávy mezi řidiči a cestujícími, jména řidičů, telefonní čísla, konkrétní destinace a místa vyzvednutí. Vědci navíc zjistili, že vývojáři vložili klíče vyžadované pro odesílání oznámení push a přístup ke službám cloudového úložiště přímo do aplikací. To útočníkům nejen usnadňuje odeslat falešné oznámení všem uživatelům jménem vývojáře, ale také nasměrovat nic netušící uživatele na phishingovou stránku. Zpřístupnění přístupových klíčů cloudového úložiště dává možnost útočníkovi zmocnit se všech dat uložených v cloudu. K tomu došlo u aplikací Screen Recorder a iFax.

Check Point poznamenává, že pouze několik aplikací změnilo konfiguraci v reakci na zveřejnění zranitelností. Uživatelé aplikací tak zůstávají i nadále vystaveni možným hrozbám.

„Uživatelé jsou zranitelní vůči různým vektorům útoků – vydávání se za jinou osobu, krádež identity, phishing a podobně,“ řekl Aviran Hazum, manažer mobilního výzkumu Check Point. Hazum dodává, že studie „vrhá světlo na znepokojivou realitu, kde vývojáři riskují únik svých interních dat, ale především dat soukromých uživatelů. “

Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz

Zdroj: The Hacker News

Foto: Pexels

0 Comments
Submit a Comment
„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.