泄露儿童隐私信息的app已被下载320000次

admin 2025年4月7日22:56:31评论0 views字数 1491阅读4分58秒阅读模式
泄露儿童隐私信息的app已被下载320000次

目前,人们经常会使用GPS应用来保护他们的孩子、伴侣或总是迷路的朋友。这一切都是为了安全——直到它不再安全。想象一下,如果不仅仅是你在跟踪你的亲人,网络犯罪分子也在跟踪呢?

Cybernews的研究人员发现,一款在苹果应用商店被下载32万次的GPS应用程序正在泄露GPS位置信息。

泄漏是由Firebase安全规则配置错误引起的。泄漏的GPS数据与用户名、设备详细信息和电话号码配对,因此恶意行为者可以很容易地拼凑出你是谁以及你去过哪里。这不仅是一场隐私噩梦——还会带来更多隐藏的危险。

更糟糕的是,隐藏在应用程序代码中的密钥可能被用来更深入地挖掘用户数据。Cybernews已多次联系iOS应用程序的开发者,但没有得到任何回应。

泄露儿童隐私信息的app已被下载320000次
恶意行为者如何知道你的位置?

在发现时,属于该GPS应用程序的不安全Firebase数据库中,已经存储了近20000个数据点。此类数据库通常用作临时数据库。一旦达到一定阈值,最旧的条目应该被清除。

然而,这并不能阻止黑客访问你的数据。攻击者可以通过设置一个爬虫,从暴露的Firebase数据库中不断获取新数据,轻松地收集大量敏感数据。

最令人担忧的方面是,通过这种设置,攻击者可以实时访问该应用用户的实时GPS位置。这是极其危险的,特别是如果该应用程序用于跟踪未成年人,就很可能利用此漏洞来定位儿童

Cybernews研究员ArasNazarovas表示:“GPS数据可用于推断日常活动,而这可能被用于社会工程攻击,最明显的危险之一是潜在的跟踪者能够获取此类数据,这使得跟踪和找到目标人物变得容易得多。”

泄露儿童隐私信息的app已被下载320000次

Leaked user data泄露的用户数据

这款APP还泄露了什么?

该应用程序代码中还暴露了其他敏感信息,通常被称为机密信息。这些暴露的机密信息是iOS应用程序中“十大最常泄露机密信息”中的一部分。

网络安全专家警告称,API密钥、凭证和其他敏感信息留在已发布应用的代码中(即“硬编码”)是一种危险的做法,可能会为攻击者打开大门。

该应用程序泄露了以下信息:

API密钥

客户编号

数据库网址

Google应用ID

项目编号

反向客户端ID

存储桶

GAD应用程序标识符

FacebookID

如果一款应用正在泄露API密钥、客户端ID和其他应用程序凭证,那么攻击者利用它只是时间问题。以API密钥为例——这一数据是访问谷歌服务的门户,如果落入坏人之手,攻击者可以通过欺诈性请求增加你的账单费用或耗尽你的服务配额。

但情况会变得更糟。如果该应用程序与敏感的用户数据相关联,那么这些黑客可以使用暴露的密钥在幕后造成严重破坏,扰乱服务并利用应用程序安全框架中的任何弱点。

泄露的秘密,如谷歌应用ID或项目ID,基本上是对黑客的公开邀请,让他们可以扰乱应用的分析。或者更糟糕的是,冒充你的应用,引发可疑的登录以窃取个人信息。

当攻击者掌握了反向的客户端ID、数据库URL或存储桶访问权限时,他们可以轻易地窃取数据、投放恶意文件等等。

Cybernews在一次大规模调查中发现了这一漏洞。研究人员下载了156000个iOS应用程序,这大约是苹果应用商店中所有应用程序的8%,他们发现应用程序开发者将明文凭证留在应用程序代码中,任何人都可以访问。

研究结果显示了惊人的数字:71%的被分析应用程序至少泄露一个秘密,平均每个应用程序的代码会暴露5.2个秘密

最近,其他研究显示,流行的iOS约会应用程序泄露了极其危险的秘密。它们允许访问存储桶,其中包含近150万张用户照片,包括因违反规定而被删除的照片以及通过私信发送的私人照片。

原文始发于微信公众号(安在):泄露儿童隐私信息的app已被下载320000次

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月7日22:56:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   泄露儿童隐私信息的app已被下载320000次https://cn-sec.com/archives/3926284.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息