情境示意圖,Photo by Mitchell Luo on unsplash

資安業者Check Point Research本周指出,該公司研究人員發現有23款Android應用程式所使用的第三方雲端服務配置錯誤,可能讓全球超過1億的Android用戶個資曝險,包括有13款程式的即時雲端資料庫缺乏密碼保護,還有些程式把通知與雲端儲存的金鑰直接置放在程式碼中。

即時資料庫允許開發者把資料存放在雲端,並讓Android用戶隨時可與雲端同步,不過,若開發者並未替即時資料庫設定密碼時,代表所有人都可存取該資料庫,並取得程式用戶的各種機密資訊。

例如超過1,000萬次下載的星座程式Astro Guru,就因配置錯誤而外洩了使用者的姓名、生日、性別、位置、電子郵件與支付資訊。或者是超過5萬次下載的叫車程式T’Leva,也因配置錯誤而外洩了乘客的姓名、電話號碼與接送位置。

圖片來源/Check Point Research

研究人員還發現有通知管理程式把金鑰存放在程式碼中,一旦駭客取得了該金鑰,就能任意發送通知予使用者,包括詐騙訊息及網釣連結。

另有程式將雲端儲存金鑰置放在程式碼中,像是超過1,000萬次下載量的Screen Recorder,它可用來紀錄與保存使用者的螢幕畫面,由於開發者也將使用者的私鑰存放在同一雲端儲存服務上,使得研究人員得以取得使用者的私鑰,並存取使用者的所有螢幕畫面。擁有50萬用戶的傳真程式iFax同樣把雲端儲存金鑰嵌入程式裡,讓駭客能夠存取使用者的所有傳真文件。

Check Point Research同時知會了Google與這23款程式的開發者,迄今已有部份程式修補了相關漏洞。


熱門新聞

Advertisement