Data uživatelů více než 19 tisíc aplikací pro Android jsou v ohrožení

Výzkumníci Avastu prověřili 180 300 běžně dostupných aplikací pro Android a zjistili, že více než 19 300 z nich má veřejně přístupná data uživatelů.

Na vině je chybná konfigurace databáze Firebase, kterou vývojáři používají zejména k vývoji mobilních aplikací pro Android.

U takto otevřených dat hrozí, že uniknou na internet. Jedná se o aplikace pro objednání rozvozu jídla, ale také o různé hry.

Na vině je chybná konfigurace databáze Firebase, kterou vývojáři pro Android často používají k ukládání právě uživatelských dat. V ohrožení jsou tak data mnoha různých aplikací – od lifestylových, fitness, herních až po ty, které pomáhají doručovat poštu nebo jídlo po celém světě včetně Evropy, jihovýchodní Asie a Jižní Ameriky.

Vývojáři používají Firebase k vývoji mobilních a webových aplikací pro operační systém Android. Svou implementaci Firebase však mohou otevřít ostatním kolegům, takže technicky vzato je dostupná i pro veřejnost. Výzkumníci z laboratoří Avast Threat Labs prozkoumali 180 300 veřejně dostupných instancí Firebase a zjistili, že více než 10 % (19 300) je otevřených a zpřístupňuje data také neautorizovaným vývojářům. Jde tedy o chybu ze strany vývojářů, která vystavuje osobní údaje uživatelů riziku krádeže.

Odhalená data zahrnují osobní údaje jako jsou jména, data narození, adresy, telefonní čísla, údaje o poloze, tokeny a klíče různých služeb. Pokud vývojáři navíc používají špatné bezpečnostní postupy, mohou záznamy obsahovat i hesla v prostém textu.

„U takto otevřených dat hrozí, že uniknou na internet, což může představovat velké obchodní, právní a regulatorní riziko. Potenciálně mohou být ohroženy osobní údaje více než 10 % uživatelů aplikací založených na Firebase,“ vysvětluje výzkumík malwaru v Avastu Vladimir Martyanov. „Svou aplikaci má v dnešní době téměř každá firma, od obchodů přes posilovny, poštovní služby, až po různé dárcovské platformy. Tyto společnosti by měly trvat na odpovědném vývoji svých aplikací, aby se bezpečnost a ochrana soukromí staly klíčovou součástí celého procesu, nikoliv jen poslední položkou na seznamu.“

O svých zjištěních informoval Avast společnost Google, aby mohla předat zprávu přímo vývojářům aplikací a přijmout opatření k nápravě.

Avast také doporučuje přímo vývojářům, aby se informovali o potenciálním riziku špatně nakonfigurovaných databází a řídili se osvědčenými postupy společnosti Google.

„Vyzýváme všechny vývojáře, aby si zkontrolovali, že jejich databáze a další úložiště jsou správně nakonfigurovaná, ochránili tak data uživatelů a učinili náš digitální svět bezpečnějším,“ dodává Vladimir Martyanov.