泄露儿童隐私信息的app已被下载320000次

目前，人们经常会使用GPS应用来保护他们的孩子、伴侣或总是迷路的朋友。这一切都是为了安全——直到它不再安全。想象一下，如果不仅仅是你在跟踪你的亲人，网络犯罪分子也在跟踪呢？

Cybernews的研究人员发现，一款在苹果应用商店被下载32万次的GPS应用程序正在泄露GPS位置信息。

泄漏是由Firebase安全规则配置错误引起的。泄漏的GPS数据与用户名、设备详细信息和电话号码配对，因此恶意行为者可以很容易地拼凑出你是谁以及你去过哪里。这不仅是一场隐私噩梦——还会带来更多隐藏的危险。

更糟糕的是，隐藏在应用程序代码中的密钥可能被用来更深入地挖掘用户数据。Cybernews已多次联系iOS应用程序的开发者，但没有得到任何回应。

在发现时，属于该GPS应用程序的不安全Firebase数据库中，已经存储了近20000个数据点。此类数据库通常用作临时数据库。一旦达到一定阈值，最旧的条目应该被清除。

然而，这并不能阻止黑客访问你的数据。攻击者可以通过设置一个爬虫，从暴露的Firebase数据库中不断获取新数据，轻松地收集大量敏感数据。

最令人担忧的方面是，通过这种设置，攻击者可以实时访问该应用用户的实时GPS位置。这是极其危险的，特别是如果该应用程序用于跟踪未成年人，就很可能利用此漏洞来定位儿童。

Cybernews研究员ArasNazarovas表示：“GPS数据可用于推断日常活动，而这可能被用于社会工程攻击，最明显的危险之一是潜在的跟踪者能够获取此类数据，这使得跟踪和找到目标人物变得容易得多。”

Leaked user data泄露的用户数据

该应用程序代码中还暴露了其他敏感信息，通常被称为机密信息。这些暴露的机密信息是iOS应用程序中“十大最常泄露机密信息”中的一部分。

网络安全专家警告称，将API密钥、凭证和其他敏感信息留在已发布应用的代码中（即“硬编码”）是一种危险的做法，可能会为攻击者打开大门。

如果一款应用正在泄露API密钥、客户端ID和其他应用程序凭证，那么攻击者利用它只是时间问题。以API密钥为例——这一数据是访问谷歌服务的门户，如果落入坏人之手，攻击者可以通过欺诈性请求增加你的账单费用或耗尽你的服务配额。

但情况会变得更糟。如果该应用程序与敏感的用户数据相关联，那么这些黑客可以使用暴露的密钥在幕后造成严重破坏，扰乱服务并利用应用程序安全框架中的任何弱点。

泄露的秘密，如谷歌应用ID或项目ID，基本上是对黑客的公开邀请，让他们可以扰乱应用的分析。或者更糟糕的是，冒充你的应用，引发可疑的登录以窃取个人信息。

当攻击者掌握了反向的客户端ID、数据库URL或存储桶访问权限时，他们可以轻易地窃取数据、投放恶意文件等等。

Cybernews在一次大规模调查中发现了这一漏洞。研究人员下载了156000个iOS应用程序，这大约是苹果应用商店中所有应用程序的8%，他们发现应用程序开发者将明文凭证留在应用程序代码中，任何人都可以访问。

研究结果显示了惊人的数字：71%的被分析应用程序至少泄露一个秘密，平均每个应用程序的代码会暴露5.2个秘密。

最近，其他研究显示，流行的iOS约会应用程序泄露了极其危险的秘密。它们允许访问存储桶，其中包含近150万张用户照片，包括因违反规定而被删除的照片以及通过私信发送的私人照片。