Analytici Avast varují, že data uživatelů více než 19 tisíc aplikací pro Android jsou v ohrožení.
Výzkumníci Avastu prověřili 180 300 běžně dostupných aplikací pro Android a zjistili, že více než 19 300 z nich má veřejně přístupná data uživatelů.
Na vině je chybná konfigurace databáze Firebase, kterou vývojáři používají zejména k vývoji mobilních aplikací pro Android.
U takto otevřených dat hrozí, že uniknou na internet. Jedná se o aplikace pro objednání rozvozu jídla, ale také o různé hry.
Na vině je chybná konfigurace databáze Firebase, kterou vývojáři pro Android často používají k ukládání právě uživatelských dat. V ohrožení jsou tak data mnoha různých aplikací – od lifestylových, fitness, herních až po ty, které pomáhají doručovat poštu nebo jídlo po celém světě včetně Evropy, jihovýchodní Asie a Jižní Ameriky.
Vývojáři používají Firebase k vývoji mobilních a webových aplikací pro operační systém Android. Svou implementaci Firebase však mohou otevřít ostatním kolegům, takže technicky vzato je dostupná i pro veřejnost. Výzkumníci z laboratoří Avast Threat Labs prozkoumali 180 300 veřejně dostupných instancí Firebase a zjistili, že více než 10 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} (19 300) je otevřených a zpřístupňuje data také neautorizovaným vývojářům. Jde tedy o chybu ze strany vývojářů, která vystavuje osobní údaje uživatelů riziku krádeže.
Odhalená data zahrnují osobní údaje jako jsou jména, data narození, adresy, telefonní čísla, údaje o poloze, tokeny a klíče různých služeb. Pokud vývojáři navíc používají špatné bezpečnostní postupy, mohou záznamy obsahovat i hesla v prostém textu.
„U takto otevřených dat hrozí, že uniknou na internet, což může představovat velké obchodní, právní a regulatorní riziko. Potenciálně mohou být ohroženy osobní údaje více než 10 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} uživatelů aplikací založených na Firebase,“ vysvětluje výzkumík malwaru v Avastu Vladimir Martyanov. „Svou aplikaci má v dnešní době téměř každá firma, od obchodů přes posilovny, poštovní služby, až po různé dárcovské platformy. Tyto společnosti by měly trvat na odpovědném vývoji svých aplikací, aby se bezpečnost a ochrana soukromí staly klíčovou součástí celého procesu, nikoliv jen poslední položkou na seznamu.“
O svých zjištěních informoval Avast společnost Google, aby mohla předat zprávu přímo vývojářům aplikací a přijmout opatření k nápravě.
Avast také doporučuje přímo vývojářům, aby se informovali o potenciálním riziku špatně nakonfigurovaných databází a řídili se osvědčenými postupy společnosti Google.
„Vyzýváme všechny vývojáře, aby si zkontrolovali, že jejich databáze a další úložiště jsou správně nakonfigurovaná, ochránili tak data uživatelů a učinili náš digitální svět bezpečnějším,“ dodává Vladimir Martyanov.
KOMENTÁŘE