Rambler's Top100
 
 
Все новости Новости отрасли

Данные пользователей из более 19 000 приложений Android потенциально подвержены риску утечки

07 сентября 2021

Компания Avast обнаружила более 19 300 приложений Android, раскрывающих данные пользователей из-за неправильной конфигурации базы данных Firebase. Благодаря Firebase можно хранить данные в огромном количестве различных приложений — для тренировок, игр, почты, доставки еды и прочих — в регионах по всему миру, включая Европу (сюда же входит и Россия), Юго-Восточную Азию и Латинскую Америку.

Предоставляемые данные могут содержать личную информацию (персональные данные — PII), собираемую приложениями, например, имена, адреса, местоположения — а в некоторых случаях даже пароли. Компания Avast уведомила Google о своих выводах, чтобы разработчики приложений могли принять меры для исправления ситуации.

Разработчики используют платформу Firebase для создания приложений для мобильной платформы Android. При этом они могут оставлять свои разработки в Firebase видимыми для других разработчиков, что технически делает их видимыми для всех. Когда исследователи Avast Threat Labs просмотрели 180 300 общедоступных экземпляров Firebase, они обнаружили, что более 10% (19 300) открыты — а данные доступны неаутентифицированным разработчикам. Это произошло из-за неправильной конфигурации Firebase разработчиками.

Гипотетически, такие открытые источники подвергают все данные, которые хранятся и используются приложениями, разработанными с помощью Firebase, риску кражи. Данные могут включать в себя самые разные сведения: личную информацию (PII), такую как имена, даты рождения, адреса, номера телефонов, местоположение, служебные токены, ключи и прочее. Если разработчики халатно относятся к обеспечению безопасности, записи могут даже содержать пароли в виде простого текста.

«Каждый из этих открытых источников — потенциальная утечка данных, которая только ждет своего часа. В случае ее возникновения следом будут критические юридические, нормативные и бизнес-риски. Гипотетически, личная информация пользователей более 10% приложений на базе Firebase может оказаться под угрозой, — объясняет Владимир Мартьянов, исследователь вредоносного ПО в Avast. — Сегодня практически у любой крупной компании есть свое приложение — у магазинов, спортзалов, почтовых служб; есть даже приложения для защиты окружающей среды и пожертвований. Все они созданы для удобства пользователей и часто с исключительно благими намерениями. Но любой организации крайне важно настаивать на ответственной разработке своих приложений. Безопасность и конфиденциальность должны быть ключевой частью всего процесса разработки, а не только «формальной прикруткой» в самом конце».

Avast рекомендует разработчикам следить за потенциальными рисками неправильно сконфигурированных баз данных и следовать лучшим практикам и советам, которые предоставила компания Google.

«Мы призываем всех разработчиков проверить свои базы данных и другие хранилища на предмет возможных неправильных конфигураций, чтобы защитить данные пользователей и сделать наш мир безопаснее», — заключает Владимир Мартьянов.

Источник: Avast

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.