Утечка произошла из незащищённой базы данных приложения на Firebase.
Исследователи безопасности Cybernews заявили , что популярное приложение на Android для голосовых чатов OyeTalk хранило незашифрованные пользовательские чаты в базе данных, не защищенной паролем.
OyeTalk — приложение для голосового чата с 5 млн. загрузок в Google Play и рейтингом 4,1 из 5 звезд на основе 21 000 отзывов — оставило свою базу данных открытой общедоступной, раскрыв личные данные и разговоры пользователей.
Данные пользователей OyeTalk утекли через незащищенный доступ к Firebase, платформе разработки мобильных приложений Google, которая предоставляет услуги облачных баз данных. Если бы данные не были скопированы, а злоумышленник решил удалить их, возможно, что личные сообщения пользователей были бы безвозвратно утеряны без возможности восстановления.
Открытый экземпляр Firebase предоставил более 500 МБ данных, включая незашифрованные пользовательские чаты, имена пользователей и IMEI-номера. Используя IMEI, киберпреступник может идентифицировать устройство и его владельца, а затем вымогать у него выкуп.
Наряду с открытым экземпляром Firebase разработчики оставили некоторую конфиденциальную информацию – так называемые секреты, жестко закодированные на стороне клиента приложения, включая API-ключ Google и ссылки на сегменты хранилища Google.
Жесткое кодирование конфиденциальных данных на клиентской стороне приложения для Android небезопасно, поскольку в большинстве случаев к ним можно легко получить доступ с помощью реверс-инжиниринга.
Разработчики приложения были проинформированы об утечке, но не закрыли публичный доступ к базе данных. Однако Google закрыла экземпляр и добавила, что набор данных слишком велик для загрузки за один раз.
Расследование Cybernews показывает, что база данных OyeTalk была ранее обнаружена и помечена как уязвимая для утечки данных. База данных содержала определенные цифровые отпечатки, используемые для маркировки открытых баз Firebase.
По словам специалистов, хакер получил доступ к открытой базе данных и пометил ее как уязвимую. Такие вторжения демонстрируют, что в базе данных отсутствует надлежащий механизм аутентификации для просмотра данных и надлежащая система авторизации для вставки или редактирования существующих данных.
Другими словами, если база содержит адрес электронной почты администратора, то злоумышленник может изменить его на свой, а затем восстановить пароль через свою электронную почту, используя функцию «забыл пароль», чтобы получить доступ к учетной записи администратора в приложении.
OyeTalk – не единственное приложение, у которого возникла такая ситуация. Ранее исследователи Cybernews сообщали, что Android-приложение для веб-серфинга «Web Explorer - Fast Internet» раскрывает конфиденциальные данные приложения и историю просмотра пользователей через открытую базу данных на платформе Firebase.
Наш канал — питательная среда для вашего интеллекта