開(kāi)發(fā)人員錯誤配置數據庫，致1億用戶(hù)數據泄露

近日，開(kāi)發(fā)庫Check Point研究人員發(fā)現：過(guò)去幾??個(gè)月，錯誤共有23個(gè)APP的配置(′?_?`)手機應用開(kāi)發(fā)者在配置和融入第三方云服務(wù)時(shí)，沒(méi)有遵循最佳實(shí)踐導??致開(kāi)發(fā)者內部資源數據和用戶(hù)個(gè)人數據處于危險中。數據大多數APP下載量超過(guò)┐(′?｀)┌1000萬(wàn)，億用累計有超過(guò)1億用戶(hù)數據泄露，戶(hù)數包括郵件地址、據泄密碼、開(kāi)發(fā)庫隱私會(huì )???話(huà)、錯誤設備位置、配置用戶(hù)id等敏感信??息。數據

實(shí)時(shí)數(????)據庫可以讓?xiě)瞄_(kāi)發(fā)者在云端保存數據，億??用確保與每個(gè)連接的戶(hù)數客戶(hù)端實(shí)(shi)時(shí)同步。該服務(wù)可以解決應用開(kāi)發(fā)(fa)過(guò)程中的據泄許多問(wèn)題，確保數據庫支持所有的開(kāi)發(fā)庫客戶(hù)端平臺。但研究人員發(fā)現許多應用開(kāi)發(fā)者并沒(méi)有配置實(shí)時(shí)數據庫的基本功能——認證。

研究人員發(fā)現，從這些開(kāi)放的數據庫中可以恢??復出郵件地址、密碼、隱私會(huì )話(huà)、設備位置、用戶(hù)id等敏感信息。如果惡意攻擊者獲得了這些數據的訪(fǎng)問(wèn)權限，就可能引發(fā)欺詐、身份竊(′；ω；`)取等惡意行為。

云??服務(wù)是開(kāi)發(fā)者或安裝的應用用來(lái)分享??文件的一種很好的解決方案。比如，兩個(gè)APP可以通過(guò)云服務(wù)共享截圖信息。但如果開(kāi)發(fā)者(zhe)將密鑰和訪(fǎng)問(wèn)密鑰嵌入到服務(wù)中，那么通過(guò)云服務(wù)共享數據也可能會(huì )引發(fā)風(fēng)險。研究人員分析發(fā)現，通過(guò)應用的文件，可以恢(╯°□°）╯︵ ┻━┻復出授予云服務(wù)文件訪(fǎng)問(wèn)權限ヽ(′ー｀)ノ的密鑰。

許多開(kāi)發(fā)者也知道在應用中存儲云服務(wù)秘鑰是不安全的。研究人員分析多個(gè)APP發(fā)??現，許多開(kāi)發(fā)者嘗試通過(guò)一些方法來(lái)進(jìn)行補救，但是并沒(méi)有修復密鑰存儲的問(wèn)題。比如，Jadx應用用base64編碼來(lái)隱藏密鑰，但是base64解碼非常容易，(′?ω?`)此外甚至不需要解碼，只需要復制base64編碼的秘鑰就可以訪(fǎng)問(wèn)對應的內容。