Dziurawe aplikacje na Androida: potężne wycieki danych
19 maja 2020
Badacze z firmy Comparitech ostrzegają, że z ponad 20 tysięcy programów na Androida wyciekają wrażliwe dane użytkowników. Zaistniała sytuacja jest wynikiem błędów konfiguracji występujących w Google Firebase, platformie programistycznej przeznaczonej do tworzenia mobilnych aplikacji.
Według szacunków Comparitech około 30 proc. aplikacji dostępnych w Google Play korzysta z Google Firebase do przechowywania danych użytkowników, ale wiele z nich nie posiada odpowiedniego zabezpieczenia. Badacze po analizie 576 tys. aplikacji umieszczonych na Google Play (18 proc. spośród wszystkich znajdujących się na platformie) znaleźli 4,3 tys. programów, z których wyciekają rekordy.
- Po ekstrapolacji danych można ustalić, że szacunkowo 0,83 proc. spośród wszystkich aplikacji w Google Play udostępnia wrażliwe informacje. To łącznie około 24 tys. programów. – wylicza Bob Diaczenko z Comparitech.
Na pierwszy rzut oka powyższe wartości nie robią większego wrażenia, aczkolwiek analitycy zauważają, że niebezpieczne programy mają ponad 4 miliardy pobrań. Należy zaznaczyć, że liczba dotyczy wyłącznie aplikacji instalowanych za pośrednictwem z Google Play.
- Zakładając, że przeciętny użytkownik smartfona z systemem operacyjnym Android korzysta z 60-90 aplikacji, istnieje duże prawdopodobieństwo, że jego prywatność została naruszona co najmniej przez jedną aplikacje – mówi Mariusz Politowicz, z firmy Marken dystrybutora rozwiązań Bitdefender w Polsce.
Dane ujawnione w wyniku błędnych konfiguracji Google Firebase obejmują adresy e-mail (7 mln), nazwy użytkowników (4,4 mln), hasła (1 mln), numery telefonów (5,3 mln), imiona i nazwiska (18,3 mln), wiadomości z chatów (6,8 mln), dane GPS (6,2 mln), adresy IP (160 tys.), adresy (500 tys.). Comparitech informuje również o wycieku numerów kart kredytowych, choć w tym przypadku nie podaje żadnych liczb.
Na liście aplikacji na Androida korzystających z Firebase Google najwięcej jest gier (25 proc.), a kolejne miejsca w tej klasyfikacji zajmują edukacja (15 proc.), rozrywka (6 proc.), biznes (5 proc.) oraz podróże (4 proc.).
- Użytkownicy smartfonów z Androidem nie powinni wpadać w panikę, wystarczy jedynie zachować podstawowe zasady cyberhigieny. Co oznacza, żeby nie wykorzystywać tego samego hasła do kilku różnych kont, używać wyłącznie zaufanych programów z Google Play, które mają dobre recenzje i dużą liczbę pobrań. Oczywiście nie należy też udostępniać poufnych informacji. – doradza Mariusz Politowicz.
Comparitech przedstawił 22 kwietnia Google pełny raport ze swoich ustaleń. Koncern z Mountain View zadeklarował, że podejmie działania mające na celu wyeliminowanie istniejących usterek.