23 Android App làm lộ hơn 100.000.000 dữ liệu cá nhân của người dùng

23 Android App làm lộ hơn 100.000.000 dữ liệu cá nhân của người dùng

May 21, 2021 | vietsunshine

Cấu hình sai trong nhiều ứng dụng Android đã làm rò rỉ dữ liệu nhạy cảm của hơn 100 triệu người dùng, có khả năng khiến họ trở thành mục tiêu béo bở cho hacker.

“Do không tuân theo các phương pháp tốt nhất khi định cấu hình và tích hợp các dịch vụ đám mây của bên thứ ba vào các ứng dụng, hàng triệu dữ liệu riêng tư của người dùng đã bị lộ” các nhà nghiên cứu cho biết.

“Trong một số trường hợp, kiểu lạm dụng này chỉ ảnh hưởng đến người dùng, tuy nhiên, các nhà phát triển cũng dễ bị tổn thương. Việc định cấu hình sai khiến dữ liệu cá nhân của người dùng và tài nguyên nội bộ của nhà phát triển, chẳng hạn như quyền truy cập vào cơ chế cập nhật, lưu trữ, v.v. “

Phát hiện này đến từ một nghiên cứu về 23 ứng dụng Android có sẵn trong Cửa hàng Google Play chính thức, một số ứng dụng có số lượt tải xuống từ 10.000 đến 10 triệu, chẳng hạn như Astro Guru, iFax, Logo Maker, Screen Recorder và T’Leva.

Theo các nhà nghiên cứu, các vấn đề bắt nguồn từ việc định cấu hình sai cơ sở dữ liệu thời gian thực, thông báo đẩy và khóa lưu trữ đám mây, dẫn đến tràn email, số điện thoại, tin nhắn trò chuyện, vị trí, mật khẩu, bản sao lưu, lịch sử trình duyệt và ảnh.

23 Android App làm lộ hơn 100.000.000 dữ liệu cá nhân của người dùng_2

Bằng cách không bảo mật cơ sở dữ liệu đằng sau các rào cản xác thực, các nhà nghiên cứu cho biết họ có thể lấy dữ liệu của người dùng ứng dụng taxi Angola T’Leva, bao gồm tin nhắn trao đổi giữa tài xế và hành khách cũng như họ tên, số điện thoại, điểm đến và điểm đón.

Hơn nữa, các nhà nghiên cứu phát hiện ra rằng các nhà phát triển ứng dụng đã nhúng các khóa cần thiết để gửi thông báo đẩy và truy cập các dịch vụ lưu trữ đám mây ngay trong ứng dụng. Điều này không chỉ khiến các kẻ xấu dễ dàng thay mặt nhà phát triển gửi thông báo lừa đảo đến tất cả người dùng mà còn có thể bị lợi dụng thậm chí để hướng những người dùng không nghi ngờ đến một trang lừa đảo, do đó trở thành điểm vào cho các mối đe dọa tinh vi hơn.

23 Android App làm lộ hơn 100.000.000 dữ liệu cá nhân của người dùng_3

Tương tự, việc nhúng các khóa truy cập lưu trữ đám mây vào các ứng dụng sẽ mở ra cánh cửa cho các cuộc tấn công khác, trong đó kẻ thù có thể nắm giữ tất cả dữ liệu được lưu trữ trên đám mây – một hành vi đã được quan sát thấy trong hai ứng dụng, Screen Recorder và iFax, do đó mang lại cho các nhà nghiên cứu khả năng truy cập các bản ghi màn hình và tài liệu fax.

Các nhà nghiên cứu lưu ý rằng chỉ một số ứng dụng thay đổi cấu hình để phản ứng với việc tiết lộ có trách nhiệm, ngụ ý rằng người dùng các ứng dụng khác tiếp tục dễ bị đe dọa bởi các mối đe dọa có thể xảy ra như gian lận và đánh cắp danh tính, chưa kể đến việc tận dụng mật khẩu bị đánh cắp để truy cập vào các tài khoản khác gian lận.

23 Android App làm lộ hơn 100.000.000 dữ liệu cá nhân của người dùng_4

“Cuối cùng, nạn nhân trở nên dễ bị tổn thương bởi nhiều phương tiện tấn công khác nhau, chẳng hạn như mạo danh, đánh cắp danh tính, lừa đảo. Không những vậy, dữ liệu của nhà phát triển cũng bị đặt vào tình thế nguy hiểm.”

Nguồn: 23 Android Apps Expose Over 100,000,000 Users’ Personal Data

Tags: , ,