19300 potencjalnie niebezpiecznych apek w Google Play
Avast, jeden ze światowych liderów w dziedzinie cyfrowego bezpieczeństwa i prywatności, wskazał ponad 19300 aplikacji na Androida, które ujawniają publicznie dane użytkowników z powodu błędnej konfiguracji bazy danych Firebase, narzędzia, którego programiści Androida mogą używać do przechowywania danych użytkowników. Implementacja Firebase może być widoczna dla innych programistów, dzięki czemu technicznie jest również widoczna publicznie. Problem dotyczy szerokiej gamy różnych aplikacji, oferowanych w regionach na całym świecie, w tym w Europie, Azji Południowo-Wschodniej i Ameryce Łacińskiej.
Kiedy badacze z Avast Threat Labs przyjrzeli się 180300 publicznie dostępnym instancjom Firebase, odkryli, że ponad 10% z nich (19300) było otwartych, ujawniając przy tym dane nieuwierzytelnionym programistom. Były one otwarte z powodu błędnej konfiguracji przez twórców aplikacji. Ujawnione dane użytkowników aplikacji mogą obejmować informacje umożliwiające identyfikację osoby (PII) gromadzone przez aplikacje, takie jak nazwiska, adresy, dane o lokalizacji, a w niektórych przypadkach nawet hasła. Gdy programiści stosują złe praktyki bezpieczeństwa, te ostatnie mogą być przechowywane w postaci czystego tekstu.
Avast powiadomił Google o swoich ustaleniach, aby firma mogła poinformować programistów aplikacji o konieczności podjęcia odpowiednich działań.
„Wzywamy wszystkich programistów do sprawdzania baz danych pod kątem ewentualnych błędów konfiguracji, aby chronić dane użytkowników i uczynić nasz cyfrowy świat bezpieczniejszym” – powiedział Władimir Martyanow z Avasta.
Źródło: Avast