idNSA.id - Peneliti keamanan dari Check Point telah menemukan 23 aplikasi Android yang mengekspos data pribadi lebih dari 100 juta pengguna karena kesalahan konfigurasi layanan cloud pihak ketiga.
Para ahli menunjukkan bahwa kesalahan konfigurasi juga mengekspos sumber daya internal pengembang, seperti akses ke mekanisme pembaruan dan penyimpanan, yang berarti dalam risiko.
“Kesalahan konfigurasi realtime database ini bukanlah hal baru, tetapi yang mengejutkan kami, cakupan masalahnya masih terlalu luas dan memengaruhi jutaan pengguna.” membaca laporan yang diterbitkan oleh para ahli. “Saat menyelidiki konten pada database yang tersedia untuk umum, kami dapat memulihkan banyak informasi sensitif termasuk alamat email, kata sandi, obrolan pribadi, lokasi perangkat, pengidentifikasi pengguna, dan banyak lagi. Jika aktor jahat memperoleh akses data ini, hal itu berpotensi mengakibatkan penggesekan layanan (misalnya, mencoba menggunakan kombinasi nama pengguna-sandi yang sama di layanan lain), penipuan, dan pencurian identitas. ”
Pakar Check Point dapat mengakses database backend dari 13 aplikasi (yaitu Logo Maker , Astro Guru , T'Leva , Screen Recorder , dan iFax ) yang ditemukan berisi informasi sensitif seperti alamat email, kata sandi, gambar pribadi, obrolan pribadi , koordinat lokasi, pengidentifikasi pengguna, kredensial media sosial, rekaman layar.
Dalam beberapa kasus, aplikasi yang dianalisis oleh Check Point mengekspos kunci akses yang memungkinkan penyerang mengirim pemberitahuan push ke semua pengguna aplikasi.
Pelaku ancaman dapat menyalahgunakan layanan pemberitahuan push untuk melakukan aktivitas berbahaya, seperti mengirim pesan berisi tautan ke situs web berbahaya yang disiapkan untuk mengirimkan situs malware atau phishing.
Para ahli menjelaskan bahwa penyimpanan Cloud pada aplikasi seluler sering digunakan untuk mengakses file yang dibagikan oleh pengembang atau aplikasi yang diinstal.
Salah satu aplikasi yang dianalisis oleh para ahli, bernama Screen Recorder, yang tersedia di Google Play dengan lebih dari 10 juta unduhan, menyimpan layar perangkat di layanan cloud. Para peneliti menemukan bahwa mungkin untuk mengakses kunci penyimpanan cloud yang memungkinkan mereka mengakses tangkapan layar pengguna dari perangkat.
“Meskipun mengakses rekaman layar melalui cloud adalah fitur yang nyaman, ada implikasi serius jika pengembang menyematkan kunci rahasia dan akses ke layanan yang sama yang menyimpan rekaman tersebut. Dengan analisis cepat dari file aplikasi, kami dapat memulihkan kunci yang disebutkan yang memberikan akses ke setiap rekaman yang disimpan. ” melanjutkan laporannya.
Di bawah daftar lengkap aplikasi yang dianalisis oleh para ahli, belasan di antaranya memiliki lebih dari 10 juta penginstalan di Google Play dan sebagian besar menampilkan database yang tidak dilindungi.
Sumber data pada foto: TheHackernews
