23 Aplikasi Android Mengekspos Data Pribadi Lebih dari 100.000.000 Pengguna

  • Whatsapp
23 Aplikasi Android Mengekspos Data Pribadi Lebih dari 100.000.000 Pengguna

Kesalahan konfigurasi di beberapa aplikasi Android membocorkan data sensitif lebih dari 100 juta pengguna, berpotensi menjadikannya target yang menguntungkan bagi aktor jahat.

“Dengan tidak mengikuti praktik terbaik saat mengonfigurasi dan mengintegrasikan layanan cloud pihak ketiga ke dalam aplikasi, jutaan data pribadi pengguna terungkap,” kata peneliti Check Point dalam analisis yang diterbitkan hari ini dan dibagikan dengan The Hacker News.

Bacaan Lainnya

“Dalam beberapa kasus, jenis penyalahgunaan ini hanya memengaruhi pengguna, namun, pengembang juga menjadi rentan. Kesalahan konfigurasi menempatkan data pribadi pengguna dan sumber daya internal pengembang, seperti akses ke mekanisme pembaruan, penyimpanan, dan lainnya dalam risiko.”

Temuan tersebut berasal dari studi terhadap 23 aplikasi Android yang tersedia di Google Play Store resmi, beberapa di antaranya memiliki unduhan mulai dari 10.000 hingga 10 juta, seperti Astro Guru, iFax, Pembuat Logo, Perekam Layar, dan T’Leva.

auditor kata sandi

Menurut Check Point, masalahnya berasal dari kesalahan konfigurasi database real-time, pemberitahuan push, dan kunci penyimpanan cloud, yang mengakibatkan tumpahan email, nomor telepon, pesan obrolan, lokasi, kata sandi, cadangan, riwayat browser, dan foto.

Dengan tidak mengamankan database di balik penghalang otentikasi, para peneliti mengatakan mereka dapat memperoleh data milik pengguna aplikasi taksi Angola T’Leva, termasuk pesan yang dipertukarkan antara pengemudi dan penumpang serta nama lengkap pengendara, nomor telepon dan tujuan serta pilih. lokasi -up.

Terlebih lagi, para peneliti menemukan bahwa pengembang aplikasi menyematkan kunci yang diperlukan untuk mengirim pemberitahuan push dan mengakses layanan penyimpanan cloud langsung ke aplikasi. Hal ini tidak hanya memudahkan pelaku kejahatan untuk mengirim pemberitahuan nakal ke semua pengguna atas nama pengembang, tetapi juga dapat dimanfaatkan bahkan untuk mengarahkan pengguna yang tidak menaruh curiga ke halaman phishing, sehingga menjadi titik masuk untuk ancaman yang lebih canggih.

Menanamkan kunci akses penyimpanan cloud ke dalam aplikasi, juga, membuka pintu ke serangan lain di mana musuh dapat memperoleh semua data yang disimpan di cloud – perilaku yang diamati di dua aplikasi, Perekam Layar dan iFax, sehingga memberi para peneliti kemampuan untuk mengakses rekaman layar dan dokumen yang dikirim melalui faks.

Check Point mencatat bahwa hanya beberapa aplikasi yang mengubah konfigurasinya sebagai tanggapan atas pengungkapan yang bertanggung jawab, menyiratkan bahwa pengguna aplikasi lain terus rentan terhadap kemungkinan ancaman seperti penipuan dan pencurian identitas, belum lagi memanfaatkan kata sandi yang dicuri untuk mendapatkan akses ke akun lain. curang.

“Pada akhirnya, korban menjadi rentan terhadap banyak vektor serangan yang berbeda, seperti peniruan identitas, identifikasi pencurian, phishing, dan gesekan layanan,” kata Aviran Hazum, manajer riset seluler Check Point, menambahkan studi tersebut “menyoroti kenyataan yang mengganggu di mana pengembang aplikasi menempatkan tidak hanya datanya, tetapi juga data pengguna pribadi mereka yang berisiko. “

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *