检查点研究后端代码。信用:检查点研究尽管临时的基于云的移动应用程序开发解决方案(如云存储、通知管理、实时数据库和分析)有明显的优势,但这些解决方案的许多开发人员未能正确考虑这些应用程序配置不当时涉及的潜在安全风险。最近,Check Point Research发现了暴露了1亿移动应用程序用户数据的错误配置和实施问题。这种暴露使用户和应用程序开发人员都面临声誉威胁和安全损害的风险。在这种情况下,开发人员让攻击者访问开放的通知管理器、存储位置和实时数据库,从而使1亿用户易受攻击。
在实时数据库方面,云服务可以帮助移动应用用户将数据实时同步到云端。但是,当开发人员没有通过身份验证正确实现该服务时,理论上任何用户都可以访问该数据库,包括所有移动客户数据。事实上,研究人员对谷歌Play上的某些应用程序在访问这些开放数据库时没有遇到任何障碍表示惊讶。在这种情况下获得的一些方面是设备位置、电子邮件地址、密码、私人聊天和用户标识符以及其他攻击媒介。这些漏洞使所有这些用户都面临欺诈和身份盗窃的风险。
事实上,受欢迎的占星应用Astro Guru就是一个具有此类漏洞的应用,在记录了1000万次下载后,所有用户都有可能被泄露个人身份信息(PII),如出生日期、电子邮件、性别和位置以及支付信息。
同样,出租车应用T'Leva已经安装了50,000多台,研究人员只需向数据库发送一个请求,就可以获取用户的全名、电话号码以及目的地和预定的接送地点。
接下来,研究人员还发现,即使是推送通知管理器也变得脆弱了。这意味着任何能够访问管理器的恶意参与者都可以代表开发人员向用户发送通知。
此外,这些移动应用的云存储给用户带来了特殊的风险,因为研究团队还发现,许多开发人员在Screen Rec订单服务应用中暴露了访问密钥和存储数据的密钥。显然,对应用程序文件的粗略分析使研究人员能够恢复这些密钥并访问用户记录。
最后,研究表明,CopyCat恶意软件还能够为有风险的云存储服务检索密钥,这表明恶意开发人员也可以利用这些漏洞。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
