Exponerad data som upptäckts av Check Point Research inkluderade chattmeddelanden i spelappar, personliga foton, token-ID:n i sjukvårdsappar och data från kryptovalutaplattformar.
Bild: Getty Images/iStockphoto/Ali Kerem YücelErfarna utvecklare som använder molnet för att skapa mobilappar försöker vanligtvis härda sina appar för att skydda dem mot olika typer av attacker. Men en aspekt som ibland ignoreras i säkerhetsskyddet är molndatabasen bakom en app. Sådana databaser måste säkras för att skydda mot oönskad åtkomst. Och det är inte alltid fallet, enligt leverantören av cyberhotsunderrättelsetjänster Check Point Research.
Måste läsa säkerhetstäckning
I en ny rapport som släpptes på tisdagen sa Check Point att de upptäckte tusentals mobilappar som lämnade data exponerad. När vi tittade på appar som använder den molnbaserade Firebase-databasen, hittade Check Point 2 113 olika där backend-data var oskyddad och tillgänglig för hackare. En del av den exponerade informationen inkluderade chattmeddelanden i spelappar, personliga filer som familjefoton, token-ID:n för sjukvårdsappar och data från utbytesplattformar för kryptovaluta.
SE: Ditt digitala pass med covid-19 kan utgöra en säkerhetsrisk (TechRepublic)
För sin forskning körde Check Point en fråga på VirusTotal-tjänsten, som låter dig skicka in filer och appar för att se om de innehåller några skadliga element. Tjänsten låter dig också söka efter oskyddade resurser, till exempel onlinedatabaser. Genom sin fråga hittade Check Point-forskare osäkra databaser med Firebase.
I ett exempel hade en e-handelsapp av misstag avslöjat sina API-gateway-uppgifter och API-nycklar, som alla var offentligt tillgängliga. I ett annat fall avslöjade en fitnessapp GPS-koordinater och hälsoinformation för sina användare.
En dejtingapp avslöjade mer än 50 000 privata meddelanden från sina kunder. En app som används för att designa logotyper och grafik avslöjade användarnamn, lösenord och e-postadresser för 130 000 användare. En app för en social ljudplattform avslöjade bankuppgifter, telefonnummer och chattmeddelanden för användare.
En bokföringsapp för små och medelstora företag avslöjade 280 000 telefonnummer associerade med minst 80 000 företagsnamn och adresser. Och en PDF-läsarapp avslöjade privata nycklar som potentiellt skulle kunna hjälpa en hackare att ansluta till företagets VPN-nätverk.
“Molnfelkonfigurationer är konsekvenserna av bristande medvetenhet, korrekta policyer och säkerhetsträning som ytterligare förstärks och behövs med den nya hybridmodellen för arbete hemifrån,” sa Check Point i sin rapport. “Dålig säkerhetspraxis kan orsaka omfattande skada, och det är ändå bara ett enkelt klick från att åtgärdas.”
Många mobilappar under utveckling laddas upp till plattformar som VirusTotal, enligt Check Point. Utvecklare gör det för att de vill se till att deras appar inte flaggas som skadliga. Bland alla appar som laddades upp till VirusTotal fångades mer än 2 000 av dem, eller cirka 5 %, med databaser öppna och tillgängliga.
SE: Lösenordsbrott: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
Att söka efter oskyddade appar och databaser via VirusTotal-webbplatsen som Check Point gjorde är ingen lätt process. För att göra det krävs ett betalt och dyrt VirusTotal VT Enterprise-konto, inte något en vanlig person skulle ha. Men det finns andra sätt att hitta den exponerade datan.
“I den här rapporten behandlar vi VirusTotal endast som centraliserad lagring av mobilapplikationerna vilket gör att vi enkelt kan arbeta med många applikationer och samla in statistik”, säger Alexandra Gofman, säkerhetsforskare för Check Point. “De tusentals databaser som exponerar känslig data är molndatabaserna som används av själva mobilapplikationerna. Så, med en specifik applikation, från VirusTotal, eller Google Play Butik, eller en tredjepartsbutik, kan vilken okvalificerad person som helst kontrollera om den använder Firebase molndatabas och enkelt komma åt all data om databasen inte var ordentligt säkrad.”
SE: Utveckling av mobil skadlig programvara 2021: Färre attacker, eskalerande faror (TechRepublic)
För att hjälpa utvecklare som använder molnbaserade tjänster att se till att deras databaser är härdade, erbjuder Check Point följande tips:
- Amazon webbtjänster. För att följa AWS CloudGuard S3 Bucket Security, följ den specifika regeln för “Se till att S3-hinkar inte är offentligt tillgängliga.”
- Google Cloud Platform. Se till att din molnlagringsdatabas inte är anonymt eller offentligt tillgänglig genom att följa en specifik regel i Googles kunskapsbas.
- Microsoft Azure. Se till att standardregeln för nätverksåtkomst för lagringskonton är inställd på att neka regel-ID.
