Oltre 100 milioni di utenti Android sono a rischio dopo che 23 applicazioni Android hanno esposto i dati personali attraverso una serie di configurazioni errate di servizi cloud di terze parti. I dati personali includevano e-mail, messaggi di chat, posizione, password e foto.
Dopo aver esaminato 23 applicazioni Android, Check Point Research (CPR) ha scoperto che negli ultimi mesi molti sviluppatori di app mobili hanno lasciato i loro dati e milioni di informazioni private di utenti esposti non seguendo le best practices durante la configurazione e l’integrazione di servizi cloud di terze parti nelle loro applicazioni, esponendo potenzialmente i dati degli oltre 100 milioni di utenti.
I ricercatori hanno scoperto i dati sensibili disponibili pubblicamente da database in tempo reale in 13 applicazioni Android, con il numero di download che ciascuna app ha da 10.000 a 10 milioni e trovato la notifica push e le chiavi di archiviazione cloud incorporate in una serie di applicazioni Android stesse. Tra queste applicazioni vulnerabili: astrologia, taxi, creatore di loghi, registrazione dello schermo e un’app fax.
I ricercatori di CPR, attraverso T’Leva, un’app per taxi con oltre cinquantamila download, sono stati in grado di accedere ai messaggi di chat tra conducenti e passeggeri e recuperare nomi completi, numeri di telefono e posizioni (destinazione e ritiro) degli utenti, il tutto inviando una sola richiesta al database.
Due esempi di app che i ricercatori hanno trovato su Google Play:
- Con oltre 10 milioni di download, l’app “Screen Recorder” viene utilizzata per registrare lo schermo del dispositivo dell’utente e archiviare le registrazioni su un servizio cloud. Sebbene l’accesso alle registrazioni dello schermo tramite il cloud sia una funzionalità utile, possono esserci gravi implicazioni se gli sviluppatori salvaguardano le password private degli utenti sullo stesso servizio cloud che archivia le registrazioni. Con una rapida analisi del file dell’applicazione, i ricercatori della CRP sono stati in grado di recuperare le chiavi menzionate che garantiscono l’accesso a ciascuna registrazione memorizzata.
- La seconda app, “iFax”, non solo aveva le chiavi di archiviazione cloud incorporate nell’app, ma memorizzava anche tutte le trasmissioni fax. Con la semplice analisi dell’app, un malintenzionato poteva accedere a tutti i documenti inviati dai 500.000 utenti che hanno scaricato questa applicazione.
Durante l’indagine sul contenuto del database disponibile pubblicamente, i ricercatori sono stati in grado di recuperare molte informazioni sensibili tra cui indirizzi e-mail, password, chat private, posizione del dispositivo, identificatori utente e altro ancora.
L’accesso a questi dati da parte di un malintenzionato potrebbe potenzialmente portare a tentativi di frode, furto di identità e furti di servizio.