小心!上万个 android和ios 应用正在泄露你的数据-k8凯发天生赢家


小心!上万个 android和ios 应用正在泄露你的数据
作者:腾讯网 发布时间:2021-03-10

你或许听过 app 会收集你的个人信息以针对性投放广告,不过很多人对此不以为意?那如果告诉你,现在有成千上万个android和 ios 应用都在泄露你的个人信息呢?

上周,移动安全公司 zimperium发布的一份研究报告揭露了这个惊人的事实:由于云服务配置错误,目前有上万个android和 ios 应用一直在泄露用户的隐私数据!

使用公有云,但配置错误

zimperium对约 130 万个ios 和 android应用进行了自动分析,发现近8.4 万个 android 应用和 4.7 万个 ios 应用并没有自己的服务器,而是在后端使用了公有云服务,如amazon web services,google cloud 和 microsoft azure 等。

也因为对公有云的配置错误,其中 14%(11877 个 android 应用和 6608 个 ios 应用)的应用暴露了用户的个人信息、密码甚至健康数据。下图为云服务配置错误的应用类别,可以看到其中商业、购物、社交和通讯类应用占比较大。

云服务配置错误的应用类别

研究发现,在这些不安全的应用中还有一些大型企业的身影,不过zimperium对此并未明确指出,仅指出了部分特征:一个是来自《财富》500 强公司的手机钱包 app,这款应用公开了部分用户的会话信息和财务数据;一个是来自大城市的交通 app,它暴露了支付数据;研究人员还发现了带有测试结果甚至用户个人资料图像的医疗应用。

zimperium 首席执行官 shridhar mittal 对此表示:“这是令人不安的趋势。很多这类应用都有云存储,但开发者或设置程序的人对这部分没有正确配置,因此几乎所有人都可以看到泄露的数据,而我们大多数人现在手机里都有一些这样的应用。”

用户数据存在许多风险

虽然包括 amazon web services 之类的云服务提供商拥有检测错误配置的工具,但出现这一情况的主要责任方还是在于应用开发者。因此在发现这一规模庞大的漏洞后,zimperium 及时与部分经过分析的应用开发者进行了反馈,但大多数人对修复其应用漏洞的请求不予回应。

但通过一系列分析,zimperium发现这将可能引发许多风险。

泄露个人身份信息

审查过程中,有几个同时涉及谷歌和 amazon 存储的应用,允许在没有任何安全性的情况下访问。在以下示例中,zimperium轻松获得了用户相关信息,包括头像和其他身份信息,而这一现象将会损害应用开发者及其用户的隐私。

引发欺诈行为

应用泄露将会导致欺诈行为更易成功。例如购物应用暴露了客户 id、登录会话 id 甚至支付相关信息,那么攻击者实际上就可以利用它来执行支付、偷钱甚至劫持帐户。在以下示例中,该应用显示了包含实物支付工具(例如支票)的图像,其中就包含了个人和财务信息(帐号,地址,有效的账户持有人姓名等),这便可用于实行欺诈犯罪行为:

ip 或系统将面临风险

还有一类应用会公开配置信息,包括服务器基础设施、脚本、服务器等等,而获得这些信息的攻击者可以轻易地破坏应用开发者的整个服务器基础设施。以下截图显示了一个脚本,该脚本将 ssh 密钥添加到授权用户列表中。因为可以查看 ssh 密钥,攻击者可轻易访问应用开发者的服务器。

甚至,攻击者可能会获得应用基础设施使用的所有后端资源(服务器,缓存,数据库等)的完整列表,那么攻击者将可能潜在地破坏整个基础设施。

希望通过上周zimperium发布的这份报告,让更多的应用开发者意识到正确配置云服务的重要性。

来源:https://new.qq.com/omn/20210308/20210308a0c5ld00.html

1612357099(1).jpg


网站地图