目前,人们经常会使用GPS应用来保护他们的孩子、伴侣或总是迷路的朋友。这一切都是为了安全——直到它不再安全。想象一下,如果不仅仅是你在跟踪你的亲人,网络犯罪分子也在跟踪呢?
Cybernews的研究人员发现,一款在苹果应用商店被下载32万次的GPS应用程序正在泄露GPS位置信息。
泄漏是由Firebase安全规则配置错误引起的。泄漏的GPS数据与用户名、设备详细信息和电话号码配对,因此恶意行为者可以很容易地拼凑出你是谁以及你去过哪里。这不仅是一场隐私噩梦——还会带来更多隐藏的危险。
更糟糕的是,隐藏在应用程序代码中的密钥可能被用来更深入地挖掘用户数据。Cybernews已多次联系iOS应用程序的开发者,但没有得到任何回应。
在发现时,属于该GPS应用程序的不安全Firebase数据库中,已经存储了近20000个数据点。此类数据库通常用作临时数据库。一旦达到一定阈值,最旧的条目应该被清除。
然而,这并不能阻止黑客访问你的数据。攻击者可以通过设置一个爬虫,从暴露的Firebase数据库中不断获取新数据,轻松地收集大量敏感数据。
最令人担忧的方面是,通过这种设置,攻击者可以实时访问该应用用户的实时GPS位置。这是极其危险的,特别是如果该应用程序用于跟踪未成年人,就很可能利用此漏洞来定位儿童。
Cybernews研究员ArasNazarovas表示:“GPS数据可用于推断日常活动,而这可能被用于社会工程攻击,最明显的危险之一是潜在的跟踪者能够获取此类数据,这使得跟踪和找到目标人物变得容易得多。”
Leaked user data泄露的用户数据
该应用程序代码中还暴露了其他敏感信息,通常被称为机密信息。这些暴露的机密信息是iOS应用程序中“十大最常泄露机密信息”中的一部分。
网络安全专家警告称,将API密钥、凭证和其他敏感信息留在已发布应用的代码中(即“硬编码”)是一种危险的做法,可能会为攻击者打开大门。
API密钥
客户编号
数据库网址
Google应用ID
项目编号
反向客户端ID
存储桶
GAD应用程序标识符
FacebookID
如果一款应用正在泄露API密钥、客户端ID和其他应用程序凭证,那么攻击者利用它只是时间问题。以API密钥为例——这一数据是访问谷歌服务的门户,如果落入坏人之手,攻击者可以通过欺诈性请求增加你的账单费用或耗尽你的服务配额。
但情况会变得更糟。如果该应用程序与敏感的用户数据相关联,那么这些黑客可以使用暴露的密钥在幕后造成严重破坏,扰乱服务并利用应用程序安全框架中的任何弱点。
泄露的秘密,如谷歌应用ID或项目ID,基本上是对黑客的公开邀请,让他们可以扰乱应用的分析。或者更糟糕的是,冒充你的应用,引发可疑的登录以窃取个人信息。
当攻击者掌握了反向的客户端ID、数据库URL或存储桶访问权限时,他们可以轻易地窃取数据、投放恶意文件等等。
Cybernews在一次大规模调查中发现了这一漏洞。研究人员下载了156000个iOS应用程序,这大约是苹果应用商店中所有应用程序的8%,他们发现应用程序开发者将明文凭证留在应用程序代码中,任何人都可以访问。
研究结果显示了惊人的数字:71%的被分析应用程序至少泄露一个秘密,平均每个应用程序的代码会暴露5.2个秘密。
最近,其他研究显示,流行的iOS约会应用程序泄露了极其危险的秘密。它们允许访问存储桶,其中包含近150万张用户照片,包括因违反规定而被删除的照片以及通过私信发送的私人照片。
原文始发于微信公众号(安在):泄露儿童隐私信息的app已被下载320000次
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论