Door verkeerde configuratie van clouddiensten van derden lagen data van meer dan 100 miljoen gebruikers bloot

Blijkt na onderzoek van 23 Android-applicaties

| Check Point | 4 min | 20 mei 2021 15:41
Afbeelding: Apps op Google Play met een open real-time database | Copyright: Check Point
Na onderzoek van 23 Android-applicaties ontdekte Check Point Research (CPR) dat developers van mobiele apps mogelijk de persoonlijke gegevens van meer dan 100 miljoen gebruikers blootstelden door een verscheidenheid aan misconfiguraties van clouddiensten van derden. De persoonlijke gegevens omvatten e-mails, chatberichten, locatie, wachtwoorden en foto's, die in de handen van kwaadwillenden kunnen leiden tot fraude, identiteitsdiefstal en het wissen van diensten.
  • CPR ontdekte dat gevoelige gegevens uit real-time databases in 13 Android-applicaties, waarbij het aantal downloads van elke app varieerde van 10.000 tot 10 miljoen, publiekelijk beschikbaar waren;
  • CPR vond pushnotificatie- en cloudopslagsleutels die in een aantal Android-applicaties waren ingebed;
  • CPR geeft voorbeelden van kwetsbare applicaties: een astrologie-, taxi-, logomaker-, schermopname- en een fax-app die gebruikers en developers kwetsbaar maakten voor kwaadwillenden.

Achtergrond

Moderne cloudgebaseerde oplossingen zijn de nieuwe standaard geworden in de wereld van mobiele applicatie-ontwikkeling. Diensten zoals cloudgebaseerde opslag, real-time databases, notificatiebeheer, analyses en meer zijn slechts een klik verwijderd van integratie in applicaties. Toch zien developers vaak het veiligheidsaspect van deze diensten, hun configuratie en hun inhoud over het hoofd.

CPR heeft onlangs ontdekt dat veel developers van applicaties de afgelopen maanden hun gegevens en de privégegevens van miljoenen gebruikers hebben blootgesteld door niet de best practices te volgen bij het configureren en integreren van clouddiensten van derden in hun applicaties. Door de verkeerde configuratie kwamen de persoonsgegevens van gebruikers en de interne middelen van developers, zoals onder andere toegang tot updatemechanismen en opslag, in gevaar.

Real-time databases verkeerd configureren

Met real-time databases kunnen applicatie-ontwikkelaars gegevens opslaan in de cloud en ervoor zorgen dat deze in real-time worden gesynchroniseerd met elke aangesloten gebruiker. Deze dienst lost een van de meest voorkomende problemen bij de ontwikkeling van applicaties op, en zorgt ervoor dat de database wordt ondersteund voor alle klantplatformen. Maar wat gebeurt er als de developers achter de applicatie hun real-time database niet configureren met een eenvoudige en elementaire functie zoals authenticatie?

Deze misconfiguratie van real-time databases is niet nieuw, en komt nog steeds op grote schaal voor, met gevolgen voor miljoenen gebruikers. Het enige wat de onderzoekers van CPR hoefden te doen, was proberen toegang te krijgen tot de gegevens. Er was niets om de ongeoorloofde toegang tegen te houden.
Bij het onderzoeken van de inhoud van de openbaar toegankelijke database kon veel gevoelige informatie worden achterhaald, waaronder e-mailadressen, wachtwoorden, privéchats, apparaatlocatie, gebruikersidentificaties en meer. Als een kwaadwillende toegang krijgt tot deze gegevens, kan dit mogelijk leiden tot service-swipes (d.w.z. proberen dezelfde gebruikersnaam-wachtwoord combinatie te gebruiken op andere diensten), fraude en/of identiteitsdiefstal.

Onderzoekers van CPR ontdekten dat Astro Guru, een populaire astrologie-, horoscoop- en handlijnkunde-app met meer dan 10 miljoen downloads, deze misconfiguratie heeft. Nadat gebruikers hun persoonlijke gegevens hebben ingevoerd, zoals hun naam, geboortedatum, geslacht, locatie, e-mail en betalingsgegevens, verstrekt Astro Guru hen een persoonlijk astrologie- en horoscooprapport.

Het opslaan van persoonlijke informatie is een ding, maar hoe zit het met het opslaan van real-time gegevens? Dit is waar een real-time database voor is. Via T'Leva, een taxi-app met meer dan 50.000 downloads, konden CPR-onderzoekers toegang krijgen tot chatberichten tussen chauffeurs en passagiers en de volledige namen, telefoonnummers en locaties (bestemming en pick-up) van gebruikers achterhalen - allemaal door één verzoek naar de database te sturen.

Push-meldingen

Een pushnotificatie-manager is een van de meest gebruikte diensten in de mobiele applicatie industrie. Pushnotificaties worden vaak gebruikt om nieuwe beschikbare inhoud te markeren, chatberichten en e-mails te tonen, en nog veel meer. De meeste pushnotificatiediensten vereisen één sleutel (soms meer dan één) om de identiteit van de verzoeker te herkennen. Wanneer die sleutels gewoon in het applicatiebestand zelf zijn ingebed, is het voor hackers heel gemakkelijk om de controle over te nemen en de mogelijkheid te krijgen om namens de developer meldingen naar alle gebruikers te versturen, welke mogelijk kwaadaardige koppelingen of inhoud bevatten.
Laten we het voorbeeld nemen van een nieuws app die een nep-nieuwsbericht naar haar gebruikers stuurt dat hen naar een phishingpagina leidt. Aangezien de melding afkomstig is van de officiële app, zouden de gebruikers kunnen aannemen dat de melding legitiem was en door de nieuwsuitgever verstuurd - en niet door hackers.

Cloudopslag

Cloudopslag op mobiele applicaties heeft de laatste jaren een vlucht genomen. Het geeft toegang tot bestanden die worden gedeeld door ofwel de developer ofwel de geïnstalleerde applicatie. Hier zijn twee voorbeelden van apps die CPR-onderzoekers op Google Play hebben gevonden:
  1. Met meer dan 10 miljoen downloads wordt de app "Screen Recorder" gebruikt om het scherm van het apparaat van de gebruiker op te nemen en de opnames op een cloudservice op te slaan. Hoewel toegang tot schermopnamen via de cloud een handige functie is, kunnen er ernstige implicaties zijn als developers de privéwachtwoorden van gebruikers beveiligen op dezelfde cloudservice die de opnamen opslaat. Met een snelle analyse van het applicatiebestand konden de onderzoekers van CPR de genoemde sleutels achterhalen die toegang verlenen tot elke opgeslagen opname.
  2. De tweede app, "iFax", had niet alleen de sleutels voor de cloudopslag in de app opgenomen, maar sloeg daar ook alle faxberichten op. Door alleen maar de app te analyseren, kon een kwaadwillende toegang krijgen tot alle documenten die waren verzonden door de 500.000 gebruikers die deze applicatie hadden gedownload.
Het is belangrijk om op te merken dat CPR Google en de developers van elk van deze apps vóór de publicatie van dit persbericht heeft benaderd om onze bevindingen te delen. Enkele van de apps hebben hun configuratie gewijzigd.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Check Point

Check Point Software Technologies (NASDAQ: CHKP) biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt.
Meer over Check Point

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029224512.jpg
Het no-nonsense internetbureau
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20191030101402.jpg
De grootste Nederlandse site over Android
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.