23款安卓应用暴露了超过1亿用户的个人数据

多个安卓应用程序中的错误配置泄露了超过1亿用户的敏感数据，这可能使他们成为恶意行为人有利可图的目标。

Check Point研究人员在今天发布的一份分析报告中说：“在配置第三方云服务并将其集成到应用程序中时，没有遵循最佳实践，数百万用户的私人数据被暴露了出来。”该分析报告与《黑客新闻》共享。

“在某些情况下，这种类型的误用只会影响用户，然而，开发人员也很容易受到攻击。错误配置会使用户的个人数据和开发人员的内部资源（如访问更新机制、存储等）面临风险。”

这些发现来自于对谷歌官方Play商店中23款Android应用的调查，其中一些应用的下载量在1万到1000万之间，比如天文大师,标志制造商iFax,屏幕录像机和特里瓦.

Check Point称，这些问题源于错误配置实时数据库、推送通知和云存储密钥，导致电子邮件、电话号码、聊天信息、位置、密码、备份、浏览器历史记录和照片泄露。

研究人员表示，通过不保护身份验证障碍背后的数据库，他们能够获得属于安哥拉出租车应用程序T'Leva用户的数据，包括司机和乘客之间交换的信息，以及乘客的全名、电话号码、目的地和取车地点。

此外，研究人员发现，应用程序开发人员将发送推送通知和访问云存储服务所需的密钥直接嵌入到应用程序中。这不仅可以让坏人更容易代表开发者向所有用户发送恶意通知，还可以将其武器化，将毫无戒心的用户引导到网络钓鱼页面，从而成为更复杂威胁的入口点。

同样，在没有任何防护措施的情况下公开云存储访问密钥，也为其他攻击打开了大门，在这些攻击中，对手可以获取存储在云中的所有数据—；这一行为在Screen Recorder和iFax两个应用程序中被观察到，从而使研究人员能够访问屏幕记录和传真文件。

Check Point指出，只有少数应用程序更改了配置，以回应负责任的披露，这意味着其他应用程序的用户仍然容易受到欺诈和身份盗窃等可能的威胁，更不用说利用窃取的密码以欺诈方式访问其他账户了。

Check Point的移动研究经理阿维兰·哈苏姆（Aviran Hazum）说：“最终，受害者会容易受到许多不同的攻击载体的攻击，比如冒充、身份盗窃、网络钓鱼和服务盗窃。”，添加这项研究“揭示了一个令人不安的现实，即应用程序开发人员不仅将其数据，而且将其私人用户的数据置于风险之中。”