Eine teilweise beliebte Android-Voice-Chat-App hat sensible Benutzerdaten durchsickern lassen, auf die jeder zugreifen konnte, der wusste, wo er suchen musste.
Die OyeTalk-App nutzte die mobile App-Entwicklungsplattform Firebase von Google, die auch in der Cloud gehostete Datenbanken anbietet. Laut Cybernews-Wissenschaftlern war die OyeTalk Firebase-Instanz nicht passwortgeschützt, was bedeutet, dass jeder auf ihren Inhalt zugreifen konnte.
Die Inhalte, erklärten die Gelehrten, umfassten Benutzernamen von Personen, unverschlüsselte Chats und IMEI-Nummern. Dieser letzte Punkt wird umso alarmierender durch die Tatsache, dass Bedrohungsakteure (und auch Strafverfolgungsbehörden) die IMEI verwenden können, um das Gerät und seinen rechtmäßigen Eigentümer zu identifizieren (öffnet einen neuen Tab).
irreversible Schäden
„Das Einfügen von IMEI-Nummern in jede gesendete Nachricht stellt einen großen Eingriff in die Privatsphäre dar, da die Nachricht dauerhaft mit einem bestimmten Gerät und seinem jeweiligen Besitzer verknüpft ist“, sagten die Forscher. „Bedrohungsakteure könnten es ausnutzen, um ein Lösegeld zu erpressen.“
Die Datenbank war etwa XNUMX MB groß, was bedeutet, dass sie von potenziellen Angreifern leicht heruntergeladen oder gelöscht werden konnte; Dieses letzte Szenario bedeutet, dass die Möglichkeit besteht, dass die privaten Nachrichten der Benutzer dauerhaft verloren gehen.
Neben sensiblen Benutzerdaten hat die App auch Geheimnisse wie API-Schlüssel und Google-Speicherbuckets preisgegeben, da diese auf der Clientseite des App-Dienstes verschlüsselt worden wären. Für Cybernews-Wissenschaftler ist dies eine „schlampige“ Arbeit der Entwickler, da die Kodierung reservierter Daten auf der Client-Seite des Dienstes einer solchen Android-Anwendung „gefährlich“ sei, da dies in den meisten Fällen „gefährlich“ sei es ist leicht durch Reverse Engineering zu erreichen.“ ".
„Zuvor wurde diese nachlässige Sicherheitspraxis erfolgreich von Bedrohungsakteuren in anderen Anwendungen ausgenutzt, was zu Datenverlust oder der vollständigen Übernahme von Benutzerdaten führte, die in offenen Firebases oder anderen Speichersystemen gespeichert waren“, warnten die Forscher.
Selbst nachdem ihnen mitgeteilt wurde, dass die Datenbank geöffnet sei, haben die Entwickler nichts unternommen, sagte Cybernews, aber Gott sei Dank gelang es den Sicherheitsmaßnahmen von Google, die Instanz herunterzufahren.
Via: Cybernews (öffnet in neuem Tab)