• CPR 發(fā)現(xiàn) 13 個(gè) Android 應(yīng)用的實(shí)時(shí)數(shù)據(jù)庫(kù)的敏感數(shù)據(jù)遭泄露,每個(gè)應(yīng)用的下載量均在 10,000 到 1,000 萬(wàn)之間
• CPR 發(fā)現(xiàn)許多 Android 應(yīng)用本身嵌入了推送通知功能和云存儲(chǔ)密鑰
• CPR 舉出了一些易受攻擊的應(yīng)用例子:星座、出租車、徽標(biāo)制作者、屏幕錄制和傳真應(yīng)用,這些應(yīng)用的用戶和開(kāi)發(fā)人員容易遭受攻擊
現(xiàn)代云解決方案已成為移動(dòng)應(yīng)用開(kāi)發(fā)領(lǐng)域的新標(biāo)準(zhǔn)。開(kāi)發(fā)人員只需點(diǎn)擊一下即可將云存儲(chǔ)、實(shí)時(shí)數(shù)據(jù)庫(kù)、通知管理和分析等服務(wù)集成到應(yīng)用中。然而,開(kāi)發(fā)人員經(jīng)常會(huì)忽略這些服務(wù)的配置及內(nèi)容所存在的安全問(wèn)題。
CPR 最近發(fā)現(xiàn),在過(guò)去的幾個(gè)月中,許多應(yīng)用開(kāi)發(fā)人員在為應(yīng)用配置和集成第三方云服務(wù)時(shí)沒(méi)有遵循最佳安全實(shí)踐,導(dǎo)致他們的數(shù)據(jù)和數(shù)百萬(wàn)用戶的私人信息遭到泄露。配置錯(cuò)誤為用戶的個(gè)人數(shù)據(jù)和開(kāi)發(fā)人員的內(nèi)部資源(如訪問(wèn)更新機(jī)制、存儲(chǔ)等)帶來(lái)了風(fēng)險(xiǎn)。
錯(cuò)誤配置實(shí)時(shí)數(shù)據(jù)庫(kù)
實(shí)時(shí)數(shù)據(jù)庫(kù)支持應(yīng)用開(kāi)發(fā)人員將數(shù)據(jù)存儲(chǔ)在云端,從而實(shí)現(xiàn)數(shù)據(jù)與每個(gè)聯(lián)網(wǎng)客戶端的實(shí)時(shí)同步。該服務(wù)不僅解決了應(yīng)用開(kāi)發(fā)中的一個(gè)常見(jiàn)問(wèn)題,而且還可確保數(shù)據(jù)庫(kù)適用于所有客戶端平臺(tái)。但是,如果應(yīng)用開(kāi)發(fā)人員沒(méi)有為實(shí)時(shí)數(shù)據(jù)庫(kù)配置身份驗(yàn)證等簡(jiǎn)單的基本特性,將會(huì)發(fā)生什么呢?
這種實(shí)時(shí)數(shù)據(jù)庫(kù)配置錯(cuò)誤問(wèn)題由來(lái)已久,并且仍然非常普遍,受此問(wèn)題影響的用戶多達(dá)數(shù)百萬(wàn)。為此,CPR 研究人員嘗試訪問(wèn)了數(shù)據(jù),結(jié)果發(fā)現(xiàn),實(shí)時(shí)數(shù)據(jù)庫(kù)沒(méi)有采取任何措施來(lái)阻止該未經(jīng)授權(quán)的訪問(wèn)。
在調(diào)查開(kāi)源數(shù)據(jù)庫(kù)的內(nèi)容時(shí),Check Point安全顧問(wèn)從中獲得了很多敏感信息,包括電子郵件地址、密碼、私人聊天、設(shè)備位置、用戶標(biāo)識(shí)符等。如果攻擊者獲得了該數(shù)據(jù),可能會(huì)進(jìn)行服務(wù)刷卡(即嘗試在其他服務(wù)上使用相同的用戶名和密碼組合)、欺詐和/或身份盜用。
圖 1 — Google Play 上采用開(kāi)源實(shí)時(shí)數(shù)據(jù)庫(kù)的部分應(yīng)用
圖 2 — Logo Maker上用戶的電子郵件、密碼、用戶名和 ID
CPR 研究人員發(fā)現(xiàn),下載量超過(guò) 1,000 萬(wàn)的熱門星座、星象和手相應(yīng)用 Astro Guru 也出現(xiàn)了這種配置錯(cuò)誤。用戶輸入個(gè)人信息(例如姓名、出生日期、性別、位置、電子郵件和付款明細(xì))后,Astro Guru 將為他們生成一份個(gè)人星座和星象預(yù)測(cè)報(bào)告。這種星象預(yù)測(cè)竟然暴露了敏感數(shù)據(jù),簡(jiǎn)直令人咋舌!
拋卻個(gè)人信息不說(shuō),泄露實(shí)時(shí)數(shù)據(jù)更令人無(wú)語(yǔ),這可是實(shí)時(shí)數(shù)據(jù)庫(kù)原本存在的意義??!在下載量超過(guò) 5 萬(wàn)的出租車應(yīng)用 T'Leva 上,CPR 研究人員成功訪問(wèn)了司機(jī)與乘客之間的聊天消息,并檢索到了用戶的姓名、電話號(hào)碼和位置(目的地和上車地點(diǎn)),所有信息只需通過(guò)向數(shù)據(jù)庫(kù)發(fā)送一個(gè)請(qǐng)求即可獲得。
推送通知
推送通知管理器是移動(dòng)應(yīng)用行業(yè)使用最廣泛的服務(wù)之一。推送通知通常用于標(biāo)記新的可用內(nèi)容、顯示聊天消息、電子郵件等。大多數(shù)推送通知服務(wù)都需要一個(gè)密鑰(有時(shí)不止一個(gè))來(lái)識(shí)別請(qǐng)求發(fā)送者的身份。如果這些密鑰只是簡(jiǎn)單地嵌入到應(yīng)用文件中,黑客很容易就會(huì)搶走控制,并冒充開(kāi)發(fā)人員向所有用戶發(fā)送可能包含惡意鏈接或內(nèi)容的通知。
試想一下,如果一個(gè)新聞媒體應(yīng)用向用戶推送了虛假新聞通知,進(jìn)而將用戶重定向到網(wǎng)絡(luò)釣魚(yú)頁(yè)面,后果將不堪設(shè)想。由于該通知來(lái)自官方應(yīng)用,用戶自然會(huì)認(rèn)為這是官方發(fā)出的合法消息,而非黑客發(fā)起的惡意攻擊。
云存儲(chǔ)
在過(guò)去的幾年中,移動(dòng)應(yīng)用云存儲(chǔ)得到飛速發(fā)展,允許訪問(wèn)開(kāi)發(fā)人員或安裝應(yīng)用共享的文件。以下兩個(gè)示例是 CPR 研究人員在 Google Play 上發(fā)現(xiàn)的應(yīng)用:
1) “Screen Recorder”應(yīng)用用于記錄用戶的設(shè)備屏幕并將錄像存儲(chǔ)在云服務(wù)中,下載量超過(guò) 1,000萬(wàn)。盡管通過(guò)云訪問(wèn)屏幕錄像非常方便,但如果開(kāi)發(fā)人員將用戶個(gè)人密碼放到存儲(chǔ)錄像的同一云服務(wù)上,則可能會(huì)產(chǎn)生嚴(yán)重的影響。在對(duì)應(yīng)用文件進(jìn)行快速分析之后,CPR 研究人員恢復(fù)了所述密鑰,從而獲得了對(duì)每個(gè)存儲(chǔ)錄像的訪問(wèn)權(quán)。
2) 第二個(gè)應(yīng)用“iFax”不僅嵌入了云存儲(chǔ)密鑰,而且保存了所有傳真?zhèn)鬏斝畔?。只需要?duì)應(yīng)用加以分析,攻擊者就能夠訪問(wèn) 50 萬(wàn)應(yīng)用用戶發(fā)送的所有文檔。
在本文章發(fā)布之前,CPR 已聯(lián)系 Google 和所有應(yīng)用開(kāi)發(fā)人員,報(bào)告了我們的研究發(fā)現(xiàn)。其中一些應(yīng)用的配置已經(jīng)更改。
如何做好自我防護(hù)
黑客攻擊移動(dòng)設(shè)備的手段五花八門,比如使用惡意應(yīng)用、發(fā)起網(wǎng)絡(luò)層攻擊以及利用設(shè)備和移動(dòng)操作系統(tǒng)漏洞等。隨著移動(dòng)設(shè)備的重要性與日俱增,越來(lái)越多的網(wǎng)絡(luò)犯罪分子盯上了這塊肥肉。最終,針對(duì)這些設(shè)備的網(wǎng)絡(luò)威脅變得更加多樣化。一款有效的移動(dòng)威脅防御解決方案應(yīng)該既能檢測(cè)和響應(yīng)各種不同的攻擊,又能提供積極的用戶體驗(yàn)。
Check Point Harmony Mobile 是市場(chǎng)領(lǐng)先的移動(dòng)威脅防御 (MTD) 和移動(dòng)應(yīng)用信譽(yù)服務(wù) (MARS) 解決方案,能夠提供一系列廣泛的功能,確保移動(dòng)設(shè)備及其數(shù)據(jù)的安全。