De data van meer dan 100 miljoen gebruikers van een twintigtal Android-apps zijn gelekt door verkeerde configuraties in clouddiensten. Het gaat om e-mails, chatberichten, locatie, wachtwoorden en foto's die in de handen van kwaadwillenden kunnen leiden tot fraude, identiteitsdiefstal en het wissen van diensten.
Dat constateert CheckPoint. Bij 23 Android-apps ontdekte het Israëlische securitybedrijf dat gevoelige gegevens uit de clouddatabases die de apps gebruiken, publiekelijk beschikbaar waren. Het bedrijf onthult slechts van een handvol apps de namen, omdat het bedrijf geen cybercriminelen op verkeerde ideeën wil brengen. Het gaat onder meer om de horoscoop-app Astro Guru, de taxi-app T’Leva, Screen Recorder (een app om schermopnames te maken) en iFax, een online-faxdienst.
Dit soort apps gebruiken clouddiensten voor opslag van gegevens, realtime-databases, notificatiebeheer, analyses en diens meer. ‘Toch zien ontwikkelaars vaak het veiligheidsaspect van deze diensten, hun configuratie en hun inhoud over het hoofd’, klinkt het bij CheckPoint. ‘We hebben ontdekt dat veel ontwikkelaars de afgelopen maanden hun gegevens en de privégegevens van miljoenen gebruikers hebben blootgesteld. Dit door niet de best practices te volgen bij het configureren en integreren van clouddiensten van derden in hun apps.’ Door die verkeerde configuraties kwamen de persoonsgegevens van gebruikers in gevaar, maar konden kwaadwilligen ook toegang krijgen tot updatemechanismen en opslag.
Chauffeurs en passagiers
Elk van de apps die bij CheckPoint een alarmbel liet afgaan, had minstens tienduizend gebruikers, al zaten er ook bij met tien miljoen downloads. Bij die laatste zit Astro Guru een populaire astrologie-, horoscoop- en handlijnkunde-app. Via T’Leva, een taxi-app met meer dan vijftigduizend downloads, konden onderzoekers toegang krijgen tot chatberichten tussen chauffeurs en passagiers en de volledige namen, telefoonnummers en locaties (bestemming en pick-up) van gebruikers achterhalen – allemaal door één verzoek naar de database te sturen.
Ook de app Screen Recorder heeft ruim tien miljoen downloads. Daar bleken de ontwikkelaars de privéwachtwoorden van gebruikers te beveiligen op dezelfde cloudservice die de opnamen opslaat. Met een snelle analyse van het applicatiebestand konden de onderzoekers de sleutels achterhalen die toegang verlenen tot elke opgeslagen opname. De app iFax had niet alleen de sleutels voor de cloudopslag in de app zelf opgenomen, maar sloeg daar ook alle faxberichten op. Door alleen maar de app te analyseren, kon een kwaadwillende toegang krijgen tot alle documenten die waren verzonden door de 500.000 gebruikers die deze applicatie hadden gedownload.
CheckPoint heeft Google en alle ontwikkelaars van de apps verwittigd van het gevaar. Verschillende daarvan hebben hun configuraties al aangepast. Tegenover het magazine Forbes zegt het bedrijf dat dit geen probleem is van Android zelf, maar van slecht programmeren. Ook iOS-apps kunnen dit soort risico’s meebrengen. CheckPoint heeft zo ook al minstens een iPhone-app gevonden, hoewel de Apple Store nog niet grondig is doorzocht.