image

Data miljoenen Androidgebruikers toegankelijk door onbeveiligde databases

donderdag 20 mei 2021, 14:28 door Redactie, 4 reacties

Data van miljoenen Androidgebruikers is voor iedereen op internet toegankelijk doordat app-ontwikkelaars nalaten hun databases te beveiligen. Dat meldt securitybedrijf Check Point op basis van eigen onderzoek naar 23 apps. De apps, die bij elkaar meer dan honderd miljoen installaties hebben, maken gebruik van verschillende clouddiensten en databases voor het opslaan van de data van hun gebruikers.

Door verkeerde configuraties blijkt die data voor iedereen toegankelijk te zijn. Zo zijn de databases zonder authenticatie toegankelijk. In de databases staan onder andere namen, geboortedata, e-mailadressen, documenten, chatberichten, locatiegegevens, wachtwoorden, foto's en schermopnamen. Het gaat onder andere om de apps Logo Maker, Astro Guru, T'Leva, Screen Recorder en iFax. De andere apps zijn niet door Check Point bekendgemaakt.

"Deze misconfiguratie van real-time databases is niet nieuw, en komt nog steeds op grote schaal voor, met gevolgen voor miljoenen gebruikers. Het enige wat de onderzoekers van Check Point hoefden te doen, was proberen toegang te krijgen tot de gegevens. Er was niets om de ongeoorloofde toegang tegen te houden", zo laat het securitybedrijf weten.

Naast de onbeveiligde databases vonden de onderzoekers in verschillende apps ook de sleutels om toegang tot de cloudopslag van de app te krijgen. Check Point waarschuwde zowel de app-ontwikkelaars als Google voor de publicatie van de bevindingen. "Enkele" van de apps hebben na de waarschuwing hun configuratie aangepast.

Reacties (4)
20-05-2021, 15:31 door Anoniem
Volgens mij geldt dit net zo goed voor Apple IOS apps.
De titel van het oorspronkelijke artikel is ook "Mobile app developers’ misconfiguration of third party services leave personal data of over 100 million exposed"
20-05-2021, 15:54 door Anoniem
Door Anoniem: Volgens mij geldt dit net zo goed voor Apple IOS apps.
De titel van het oorspronkelijke artikel is ook "Mobile app developers’ misconfiguration of third party services leave personal data of over 100 million exposed"
Je weet het toch! Dit bekt lekkerder!
20-05-2021, 17:11 door Anoniem
Door Anoniem: Volgens mij geldt dit net zo goed voor Apple IOS apps.
De titel van het oorspronkelijke artikel is ook "Mobile app developers’ misconfiguration of third party services leave personal data of over 100 million exposed"
Als je even de moeite neemt om verder te lezen dan de titel, dan zie je in Appendix 1, dat CheckPoint enkel Google Play apps onderzocht heeft.
Voor de Apple fans: obscurity is bad security ;)
20-05-2021, 22:02 door Anoniem
The researchers also found developer-related sensitive details embedded in some of the tested apps. In one app, they found the credentials for push notification services. In Screen Recorder, another app on Google Play with over 10 million installations, the researchers found the cloud storage keys that give access to users’ screenshots from the device. They discovered that iFax Android app also stored the cloud storage keys and the database contained documents and fax transmissions from more than 500,000 users.

https://www.bleepingcomputer.com/news/security/data-of-100-plus-million-android-users-exposed-via-misconfigured-cloud-services/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.