一部のアプリケーションでのリアルタイムクラウド サービスの構成ミスにより、機密性の高いユーザー データへのアクセスが許可されることが判明しました。電子メール アドレス、プライベート メッセージ、写真、さらにはパスワードなど。この誤った構成は、累計ダウンロード数が 1 億を超える特定の Android アプリに適用されていました。
アプリがユーザーにサービスを提供するには、特定の情報をデータベースに保存して、常に比較し、ユーザーが必要とする情報をダウンロードする必要があります。たとえば、タクシー アプリではユーザー名、住所、支払い方法を保存する必要があります。このすべての機密情報はリアルタイム データベースを通じて管理されるため、ユーザーはアプリケーションで遅延を経験することはありません。 CheckPoint Research が発見したように、問題は、すべてのアプリがこれらの重要なデータベースを保護しているわけではないことです。
保護システムのないリアルタイム データベース
重大なプライバシー エラーは少数のアプリケーションに影響を与えていると言わざるを得ません。 Logo CreatorやAstroGuruなど、ダウンロード数が 1,000 万を超えるアプリケーションを見逃すことはありません。セキュリティ機関 CheckPoint の研究者が発見したように、攻撃者はこれらのアプリのデータベースにリクエストを行うだけで機密情報にアクセスできる可能性があります。
アプリケーションは情報をデータベースに保存する必要があり、保存された情報に常時アクセスする必要があることを考慮すると、開発者はリアルタイム データベースを使用して、ユーザーにとってアプリの魅力を失わずにプロセスを高速化します。問題は、これらのデータベースへのアクセスが保護されていない場合に発生します。リクエストを傍受し、URL を分析し、 Web サイトをマスクして外部リクエストを行うことにより、非常に機密性の高い情報を取得することが可能になります。これはプライバシーとセキュリティの両方において深刻な問題です。
CheckPoint が指摘しているように、研究者たちは、プライベートであるはずの電子メール アドレス、ユーザー名、パスワード、写真、さらにはチャット メッセージさえも入手することに成功しました。アプリケーション外部のリクエストを妨げないものはすべてリアルタイム データベースに保存されます。
Logo Maker、AstroGuru、Screen Recorder、iFax、T’Leva などのアプリは、不正なリクエストに対して脆弱であることが証明されています。これらのアプリのいずれかをインストールしている場合は、アンインストールすることをお勧めします。 CheckPoint はその発見を開発者だけでなく Google にも伝えました。一部のアプリは CheckPoint Research の勧告に従って更新されており、現時点では脆弱性はありません。
詳細情報 | チェックポイント