Více než 100 milionů uživatelů Androidu je ohroženo poté, co bylo zjištěno, že 23 různým mobilním aplikacím unikají osobní údaje v důsledku nekontrolovatelné nesprávné cloudové konfigurace. Chyby většinou nejsou opraveny.

Vyplývá to z průzkumu Check Point Research, jehož vědci zjistili, že e-maily, zprávy z chatu, údaje o poloze, hesla, fotografie, osobní údaje a další jsou k dispozici všem, kdo mají připojení k internetu. Je znepokojivé, že po kontaktování firmou změnilo své nastavení pouze „několik“ aplikací.

Vědci také zjistili, že klíče push-upozornění a cloudového úložiště jsou zabudovány do řady aplikací pro Android, což ohrožuje vlastní interní zdroje vývojářů, jako je přístup k aktualizačním mechanismům, úložišti a dalším.

„Moderní cloudová řešení se stala novým standardem ve světě vývoje mobilních aplikací,“ vysvětlili vědci na blogu. „Služby, jako je cloudové úložiště, databáze v reálném čase, správa oznámení, analytika a další, jsou jednoduše integrovány do aplikací jediným kliknutím. Přesto vývojáři často přehlížejí bezpečnostní aspekt těchto služeb, jejich konfiguraci a samozřejmě i jejich obsah.“

Nebezpečnost rizikových dat napříč aplikacemi je taková, že je možná celá řada následných útoků, od použití pověření proti jiným účtům až po sociální inženýrství a krádeže identity.

Databáze v reálném čase ponechány otevřené
Data byla přístupná z databází v reálném čase ve 13 aplikacích pro Android, jejichž počet stažení se pohybuje od 10 000 do 10 milionů. Výzkumníci uvedli, že tyto aplikace byly určeny pro astrologii, taxislužby, výrobce loga, nahrávání obrazovky a faxování.

Databáze v reálném čase umožňují vývojářům aplikací ukládat data v cloudu, takže při každém připojení aplikace se informace synchronizují a klienti (a databáze) se aktualizují. U zkoumaných aplikací však nebyla žádná kontrola ověřování, která by jim umožnila přístup.

V případě aplikace T’Leva, taxislužby s více než 50 000 staženími, měli vědci přístup k chatovým zprávám mezi řidiči a cestujícími, plus údaje o poloze a osobní údaje, jako jsou celá jména a telefonní čísla – vše zasláním jednoho požadavku do databáze.

„Tato nesprávná konfigurace databází v reálném čase není nová a je stále běžná a postihuje miliony uživatelů,“ uvádí blog. „Jediné, co [výzkumní pracovníci] museli udělat, byl pokus o přístup k datům. Na místě nebylo nic, co by bránilo neoprávněnému přístupu.“

Astro Guru nepředvídal únik dat
Jedna aplikací, Astro Guru, má více než 10 milionů stažení. Nabízí horoskopy, věštění z ruky a podobné služby. Jelikož poskytuje osobní „čtení“, vyžaduje mnoho informací, včetně jména, data narození, pohlaví, polohy, e-mailů a samozřejmě platebních údajů. Jakmile je to hotové, Astro Guru předloží „osobní zprávu o astrologické předpovědi a horoskopu“.

Mezitím nebyli ani správci push oznámení v mnoha aplikacích chráněni heslem. Oznámení push jsou pro většinu z nás známá jako ty nevyžádané poznámky, které se objevují jako upozornění, oznamující zprávy, nové e-maily, nový obsah, kolik kroků ten den někdo udělal nebo co máte z různých aplikací nainstalovaných v telefonu.

„Většina push notifikačních služeb vyžaduje klíč (někdy více než jeden) k rozpoznání identity zadavatele žádosti,“ uvádí analýza. „Když jsou tyto klíče vloženy do samotného souboru aplikace, je pro hackery velmi snadné převzít kontrolu a získat schopnost zasílat všem jménem vývojáře oznámení, která mohou obsahovat škodlivé odkazy nebo obsah.“

Cloudové klíče k volnému sebrání
V případě alespoň dvou z těchto aplikací byly cloudové klíče podle výzkumníků vystaveny bez ochranných opatření.

Například aplikace Screen Recorder dělá to, co říká – zaznamenává obrazovku uživatele a poté ukládá nahrávky do cloudu pro pozdější přístup. Má více než 10 milionů stažení. Vývojáři bohužel uložili soukromá hesla uživatelů ve stejné cloudové službě, která ukládá nahrávky.

„Díky rychlé analýze souboru aplikace byli vědci schopni obnovit zmíněné klíče, které umožňují přístup ke každému uloženému záznamu,“ vysvětlili vědci.

Je špatnou praxí napevno kódovat a ukládat statické přístupové klíče do aplikace. Pokud se rozhodnete používat cloudové úložiště jako vývojář, musíte zajistit, aby veškerý klíčový materiál potřebný pro připojení k takovému úložišti byl udržován v bezpečí, a musíte také využít mechanismy kontroly přístupu a šifrování poskytovatele cloudu, aby byla data chráněna. Vývojáři mobilních aplikací by měli využívat mechanismy Android Keystore a Keychain, které jsou podporovány hardwarovým bezpečnostním modulem mobilního zařízení. Vývojáři by měli také využívat šifrovací mechanismy Androidu při ukládání dalších citlivých dat na straně klienta.

Druhou aplikací byl iFax, který udělal podobnou chybu. V tomto případě vývojáři uložili cloudové klíče a faxové přenosy do stejného cloudu.

„Pouhou analýzou aplikace by mohl kdokoli získat přístup ke všem dokumentům zaslaným 500 000 uživateli, kteří si tuto aplikaci stáhli,“ tvrdí Check Point – problém je to hlavně vzhledem k tomu, že největšími uživateli faxů jsou v současnosti regulovaná odvětví, jako je zdravotnictví a finanční společnosti.

Co dělat, pokud vaše data unikly z aplikace
Výzkumné laboratoře Imperva zjistily, že incidenty úniku dat se za posledních 12 měsíců zvýšily o 557 procent a od začátku roku 2021 se zvýšily o 74 procent, uvedl Ron Bennatan, generální ředitel pro zabezpečení dat společnosti Imperva.

„Podniky musí přestat myslet na zabezpečení aplikací a zabezpečení dat jako na různorodé entity, protože útočníci tak rozhodně nemyslí, a vytvářet jim příležitosti k přístupu k datům,“ řekl. „Dobrý podnik využívá přístup zaměřený na data a zajišťuje data samotná, nejen koncové body připojené k databázi.“

Chybné konfigurace cloudu, které nechávají data veřejně odkrytá, to se neustále opakuje – a bohužel existuje jen velmi málo, co mohou koncoví uživatelé udělat, aby se ochránili. Existují však kroky, které je třeba podniknout poté, co dojde k úniku dat, uvedli vědci.

Zdroj: threatpost.com