Un'app di chat vocale Android parzialmente popolare ha fatto trapelare dati utente sensibili, a cui chiunque sapeva dove cercare poteva accedervi.
L'app OyeTalk utilizzava la piattaforma di sviluppo di app per dispositivi mobili Firebase di Google, che offre anche database ospitati nel cloud. Secondo gli studiosi di Cybernews, l'istanza di OyeTalk Firebase non era protetta da password, il che significa che chiunque poteva accedere al suo contenuto.
I contenuti, hanno spiegato gli studiosi, includevano nomi utente di persone, chat non crittografate e numeri IMEI. Quest'ultimo elemento è reso ancora più allarmante dal fatto che gli attori delle minacce (e anche le forze dell'ordine) possono utilizzare l'IMEI per identificare (apre una nuova scheda) il dispositivo e il suo legittimo proprietario.
danno irreversibile
"Scaricare i numeri IMEI in ogni messaggio inviato è un'enorme violazione della privacy, poiché il messaggio è permanentemente associato a un particolare dispositivo e al suo proprietario in quel momento", hanno affermato i ricercatori. "Gli attori della minaccia potrebbero sfruttarlo per imporre un riscatto".
Il database aveva una dimensione di circa XNUMX MB, il che significa che avrebbe potuto essere facilmente scaricato o eliminato da potenziali aggressori; Quest'ultimo scenario significa che c'era la possibilità di una perdita permanente dei messaggi privati degli utenti.
Insieme ai dati sensibili degli utenti, l'app ha anche fatto trapelare segreti come chiavi API e bucket di archiviazione di Google, poiché questi sarebbero stati crittografati sul lato client del servizio dell'app. Per gli studiosi di Cybernews si tratta di un lavoro "sciatto" da parte degli sviluppatori, in quanto la codifica dei dati riservati lato client del servizio di un'applicazione Android come questa è "pericolosa, in quanto nella maggior parte dei casi è facilmente realizzabile attraverso il reverse engineering." ".
"In precedenza, questa pratica di sicurezza negligente è stata sfruttata con successo da attori delle minacce in altre applicazioni, con conseguente perdita di dati o acquisizione completa dei dati degli utenti archiviati in Firebase aperti o altri sistemi di archiviazione", hanno avvertito i ricercatori degli studiosi.
Anche dopo che gli è stato detto che il database era aperto, gli sviluppatori non hanno fatto nulla, ha detto Cybernews, ma grazie al cielo le misure di sicurezza di Google sono riuscite a chiudere l'istanza.
Via: Cybernews (si apre in una nuova scheda)