Авторы игры Tap Busters: Bounty Hunters открыли базу данных игроков для всех желающих.
Исследователи кибербезопасности Cybernews обнаружили, что разработчики RPG игры на Android Tap Busters: Bounty Hunters оставили свою базу данных общедоступной, раскрыв личные разговоры пользователей.
Кроме того, разработчики приложений жестко закодировали конфиденциальные данные в клиентской части приложения, что сделало его уязвимым для дальнейших утечек данных.
Tap Busters: Bounty Hunters — это ролевая игра в режиме ожидания, которую скачали более 1 миллиона человек в магазине Google Play, а рейтинг 4,5 звезды основан на более чем 45 000 обзоров. Игра в режиме ожидания — это игра, в которой игрок не взаимодействует с игрой во время ее работы.
Исследователи обнаружили, что в Tap Busters: Bounty Hunters произошла утечка данных через незащищенный доступ к Firebase, платформе разработки мобильных приложений Google, которая предоставляет услуги облачных баз данных. Тем временем любой мог получить доступ к базе данных.
Незащищенный набор данных объемом 349 МБ содержит:
Если бы злоумышленник просто удалил все данные, возможно, личные сообщения пользователей были бы безвозвратно утеряны без возможности восстановления.
Наряду с открытым экземпляром Firebase разработчики оставили некоторую конфиденциальную информацию – секреты, жестко закодированные на стороне клиента приложения. Были найдены следующие ключи:
Стоит отметить, что жесткое кодирование конфиденциальных данных на клиентской стороне приложения для Android небезопасно, поскольку в большинстве случаев к ним можно легко получить доступ с помощью реверс-инжиниринга.
База всё еще открыта
Разработчиком игры является компания Tilting Point, которой принадлежит несколько других успешных игр с большим сообществом игроков. Некоторые из этих игр скачали более 5 миллионов раз. Разработчик приложения был проинформирован об утечке данных, но не смог закрыть публичный доступ к базе данных.
Разработчики приложения не ответили на вопросы Cybernews о продолжительности публичного доступа к экземпляру или возможности того, что злоумышленники могут использовать жестко запрограммированные секреты, что приведет к утечке конфиденциальных данных.
Однако на данный момент в экземпляре Firebase было так много данных, что получение их всех за один запуск будет невозможным для хакера из-за политик передачи данных Google, в результате чего экземпляр имел слишком большую полезную нагрузку, чтобы на нее можно было воздействовать.
В декабре специалисты Cybernews обнаружили, что Android-приложение для веб-серфинга «Web Explorer - Fast Internet» раскрывает конфиденциальные данные приложения и историю просмотра пользователей. Раскрытие данных произошло из-за того, что разработчики оставили открытой базу данных пользователей на платформе Firebase.
Гравитация научных фактов сильнее, чем вы думаете