Данные были обнаружены в незащищенных базах данных в реальном времени, используемых 23 приложениями с количеством загрузок от 10 000 до 10 миллионов. Хотя неправильно настроенные базы данных реального времени не являются сюрпризом, исследование показывает, что некоторые разработчики Android не следуют основным методам безопасности для ограничения доступа к базе данных приложения. Количество мобильных приложений с ошибками настройки показывает, что это широко распространенная проблема, которую можно легко использовать в криминальных целях. Разработчики приложений используют базы данных в реальном времени для хранения данных в облаке и синхронизации их в реальном времени с подключенными клиентами.
Исследователи Check Point обнаружили, что некоторые из этих баз данных остались незащищенными, и любой мог получить доступ к личной информации, в том числе конфиденциальной, принадлежащей более чем 100 миллионам пользователей. Данные включают имена, адреса электронной почты, даты рождения, сообщения чата, местоположение, пол, пароли, фотографии, платежные реквизиты, номера телефонов, push-уведомления. Некоторые из приложений, раскрывающих этот тип информации, присутствуют в Google Play и имеют более 10 миллионов установок (Logo Maker, Astro Guru). Другие, такие как T'Leva, менее популярны, но также имеют весомую пользовательскую базу с количеством установок от 10 000 до 500 000.
Приложения для Android с незащищенной базой данных в реальном времени
Исследователи также обнаружили конфиденциальные детали, относящиеся к разработчикам, встроенные в некоторые из протестированных приложений. В одном приложении они нашли учетные данные для служб push-уведомлений. В Screen Recorder, приложении из Google Play с более чем 10 миллионами установок, исследователи обнаружили ключи облачного хранилища, которые дают доступ к экрану пользователей. Они обнаружили, что приложение iFax для Android хранит ключи облачного хранилища, а база данных содержит документы и факсы от более чем 500 000 пользователей. Некоторые разработчики, скрыли секретный ключ, используя кодировку base64, которая не добавляет защиты, поскольку декодирование не защищено.
«Даже если приложение не использует ключи с открытым текстом, все, что нужно, - это найти фрагмент кода, который инициализирует интерфейс облачной службы, который в основном принимает эти ключи в качестве параметров и отслеживает их значение. В конце концов, если ключи будут встроены в приложение, мы получим их значение» - Check Point.
Из 23 приложений, проанализированных исследователями Check Point, у десятка имеется более 10 миллионов установок в Google Play, и у большинства из них база данных в реальном времени была незащищенной, что открывало доступ к конфиденциальной информации пользователя.
Хотя проблема не нова, удивительно, что в этих очень популярных приложениях не применяются базовые методы безопасности для защиты своих пользователей и данных.
