モバイルアプリの開発者の非常に単純な設定ミスによって、いまだにユーザーの個人情報を流出させ続けています。
セキュリティ企業のCheck Pointは、レポートの中でサードパーティのクラウド・サービスに対する設定ミスによって1億人以上のユーザーの個人情報が流出したAndroidアプリケーションが23本も見つかったと発表しました。
これはバックエンド・データベースをパスワードで保護することを忘れたアプリ開発者やクラウド・ストレージやプッシュ通知などのサービスに対するアクセストークン/キーをモバイル・アプリケーションのソースコード内に残した開発者が含まれていました。
Check Pointのチームはランダムな23個のアプリケーションを定期的に検査して見つけた情報を利用して13個のアプリケーションのバックエンド・データベースにアクセスすることができたと述べています。
公開されたデータベースの中には電子メールアドレス、パスワード、プライベートなチャット、位置座標、ユーザー識別子、画面記録、ソーシャルメディアの認証情報、個人の画像などの情報が含まれていたとのことです。
Check Pointは「このようなリアルタイムデータベースの誤設定は新しいものではなく、何百万人ものユーザーに影響を与える広く一般的なものです。」と述べています。
プッシュサービスのアクセスキーが公開のまま放置が最近の傾向
さらに、これらのモバイル・アプリの中にはユーザ・データを直接公開していないものもありましたがアクセス・キーが公開されていたため攻撃者がアプリのすべてのユーザにプッシュ通知を送信することができたと指摘しています。これは、非常に効率的なフィッシング攻撃に悪用される可能性があります。
例えば、あるニュース配信アプリが偽のニュースエントリを通知してユーザーをフィッシングページに誘導したとします。この通知は公式アプリから発信されたものであるため、ユーザーはその通知がハッカーではなくニュース配信会社から送られた正当なものであると考えるでしょう
Check Point社は、バックエンドを通じて情報が流出した23のアプリのうち「ogo Maker」「Astro Guru」「T’Leva」「Screen Recorder」「iFax」の5つのアプリの名前しか公表していません。
バックエンドのインフラをオンライン公開したままにしてユーザーデータを漏洩させたモバイルアプリに関する報告は、2010年代半ばから定期的に発表されており主に不適切なコーディング方法が原因というのが長年の原因となっています。
最新の事件は、今年3月にモバイルセキュリティ企業のZimperium社が発表したもので同社は何千ものAndroidおよびiOSアプリでクラウドベースのバックエンドが誤って設定されていることを発見したと報告しています。
Zimperium社の報告書には、2018年のAppthority社の報告書とほぼ同じ数字が記載されており、再三の警告にもかかわらず、過去3年間文字通り何も変わっていないことを示しています。
Comments