Bezpečnostní novinky

Riziko úniku dat: 19 tisíc aplikací pro Android je v ohrožení

Avast Threat Labs 15. září 2021 14:32:16 SELČ

Od aplikací na rozvoz jídla po hry: škála chybně nakonfigurovaných aplikací je opravdu široká

Nové aplikace stahujeme neustále. Festivaly a další akce vytváří své vlastní aplikace, ve kterých vás zpraví o programu, známé společnosti tvoří aplikace pro své věrné zákazníky a ani oběd si dnes bez speciální aplikace už prakticky neobjednáte. Proto nás zpráva o více než 19 300 aplikacích pro Android, které mají volně přístupná data svých uživatelů, příliš nepotěšila. Na vině je chybná konfigurace Firebase, kterou vývojáři pro Android často používají k ukládání dat. V ohrožení jsou tak data mnoha různých aplikací – od lifestylových, fitness, herních až po ty, které pomáhají doručovat poštu nebo jídlo po celém světě včetně Evropy, jihovýchodní Asie a Jižní Ameriky.

Co o chybě víme 

Vývojáři používají Firebase k vývoji mobilních a webových aplikací pro operační systém Android. Svou implementaci Firebase také mohou otevřít ostatním kolegům, takže je technicky vzato dostupná i pro veřejnost. Naši výzkumníci z laboratoří Avast Threat Labs prozkoumali 180 300 veřejně dostupných instancí Firebase a zjistili, že více než 10 % (19 300) je otevřených a zpřístupňuje data také neautorizovaným vývojářům. Jde tedy o chybu ze strany vývojářů, která vystavuje osobní údaje uživatelů riziku krádeže.

Které osobní informace jsou v ohrožení 

Odhalená data zahrnují osobní údaje jako jsou jména, data narození, adresy, telefonní čísla, údaje o poloze, tokeny a klíče různých služeb. Pokud vývojáři navíc používají špatné bezpečnostní postupy, mohou záznamy obsahovat i hesla v prostém textu. 

„U takto otevřených dat hrozí, že uniknou na internet, což může představovat velké obchodní, právní a regulatorní riziko. Potenciálně mohou být ohroženy osobní údaje více než 10 % uživatelů aplikací založených na Firebase,“ vysvětluje výzkumík malwaru v Avastu Vladimir Martyanov. „Svou aplikaci má v dnešní době téměř každá firma, od obchodů přes posilovny, poštovní služby, až po různé dárcovské platformy. Tyto společnosti by měly trvat na odpovědném vývoji svých aplikací, aby se bezpečnost a ochrana soukromí staly klíčovou součástí celého procesu, nikoliv jen poslední položkou na seznamu.“

O zjištěních jsme již informovali společnost Google, aby mohla zprávu předat přímo vývojářům a přijmout opatření k nápravě. 

Vývojářům také doporučujeme, aby se informovali o potenciálním riziku špatně nakonfigurovaných databází a řídili se osvědčenými postupy společnosti Google

„Vyzýváme všechny vývojáře, aby si zkontrolovali, že jejich databáze a další úložiště jsou správně nakonfigurovaná, ochránili tak data uživatelů a učinili náš digitální svět bezpečnějším,“ dodává Vladimir Martyanov.

Více informací k výzkumu naleznete na našem technickém blogu Avast Decoded

Abyste se škodlivým aplikacím vyhli, doporučujeme aplikace stahovat pouze z důvěryhodných zdrojů jako je Google Play nebo Apple App Store. 

Nejnovější informace ze světa online bezpečnosti najdete také na našem Facebooku, tak nás nezapomeňte sledovat.