安全企业Check Point Research本周指出,该公司研究人员发现有23款Android应用程序所使用的第三方云计算服务配置错误,可能让全球超过1亿的Android用户个人信息曝险,包括有13款程序的即时云计算数据库缺乏密码保护,还有些程序把通知与云计算存储的密钥直接放置在程序代码中。
即时长据库允许开发者把资料存放在云计算,并让Android用户随时可与云计算同步,不过,若开发者并未替即时长据库设置密码时,代表所有人都可访问该数据库,并取得程序用户的各种机密信息。
例如超过1,000万次下载的星座程序Astro Guru,就因配置错误而外泄了用户的姓名、生日、性别、位置、电子邮件与支付信息。或者是超过5万次下载的叫车程序T’Leva,也因配置错误而外泄了乘客的姓名、电话号码与接送位置。
图片来源/Check Point Research
研究人员还发现有通知管理程序把密钥存放在程序代码中,一旦黑客取得了该密钥,就能任意发送通知给用户,包括诈骗消息及网络钓鱼连接。
另有程序将云计算存储密钥放置在程序代码中,像是超过1,000万次下载量的Screen Recorder,它可用来记录与保存用户的屏幕画面,由于开发者也将用户的私钥存放在同一云计算存储服务上,使得研究人员得以取得用户的私钥,并访问用户的所有屏幕画面。拥有50万用户的传真程序iFax同样把云计算存储密钥嵌入程序里,让黑客能够访问用户的所有传真文件。
Check Point Research同时知会了Google与这23款程序的开发者,迄今已有部分程序修补了相关漏洞。