Hơn 4.000 ứng dụng Android làm lộ dữ liệu người dùng

13:00 | 28/05/2020 | LỖ HỔNG ATTT

Hơn 4.000 ứng dụng Android sử dụng cơ sở dữ liệu Firebase được lưu trữ trên đám mây của Google đã "vô tình" rò rỉ thông tin nhạy cảm về người dùng của họ, bao gồm: địa chỉ email, tên người dùng, mật khẩu, số điện thoại, tên đầy đủ, tin nhắn trò chuyện và dữ liệu vị trí.

Hơn 4.000 ứng dụng Android làm lộ dữ liệu người dùng

Trang tin Security Discovery và công ty Comparitech (Anh) đã hợp tác mở cuộc điều tra về 15.735 ứng dụng Android (chiếm khoảng 18% trong tổng số ứng dụng trên cửa hàng Google Play). Công ty Comparitech cho biết, 4,8% ứng dụng di động sử dụng Google Firebase để lưu trữ dữ liệu người dùng không được bảo mật đúng cách, cho phép truy cập cơ sở dữ liệu chứa thông tin cá nhân của người dùng, mã truy cập (token) và các dữ liệu khác mà không cần mật khẩu hoặc bất kỳ yêu cầu xác thực nào".

Được Google mua lại vào năm 2014, Firebase là một nền tảng phát triển ứng dụng di động phổ biến, cung cấp nhiều công cụ để giúp các nhà phát triển ứng dụng bên thứ ba xây dựng ứng dụng, lưu trữ dữ liệu và tệp ứng dụng một cách an toàn, khắc phục sự cố và thậm chí trao đổi với người dùng qua tin nhắn trong ứng dụng.

Với các ứng dụng dễ bị tấn công, chủ yếu thuộc các nhóm trò chơi, giáo dục, giải trí và kinh doanh, Comparitech cho rằng, rất có thể quyền riêng tư của người dùng Android đã bị xâm phạm bởi ít nhất một ứng dụng. Vì Firebase là một công cụ đa nền tảng, các nhà nghiên cứu cũng cảnh báo rằng các cấu hình sai cũng có khả năng ảnh hưởng đến hệ điều hành iOS và các ứng dụng web.

Nội dung đầy đủ của cơ sở dữ liệu trải rộng trên 4.282 ứng dụng, bao gồm: hơn 7 triệu địa chỉ email, hơn 4,4 triệu tên người dùng, hơn 1 triệu mật khẩu, hơn 5,3 triệu số điện thoại, hơn 18,3 triệu tên đầy đủ, hơn 6,8 triệu tin nhắn trò chuyện, hơn 6,2 triệu dữ liệu GPS, hơn 156.000 địa chỉ IP và hơn 560.000 địa chỉ đường phố.

Điều tra viên đã sử dụng API REST của Firebase để truy cập dữ liệu được lưu trữ trên các cơ sở dữ liệu không được bảo vệ, được truy xuất ở định dạng JSON, bằng cách thêm "/.json" vào URL cơ sở dữ liệu (ví dụ: https://~project_id~.firebaseio.com /.json).

Ngoài 155.066 ứng dụng có cơ sở dữ liệu được công khai, các nhà nghiên cứu đã tìm thấy 9.014 ứng dụng có quyền ghi, do đó có khả năng cho phép kẻ tấn công truyền dữ liệu độc hại và làm hỏng cơ sở dữ liệu, thậm chí phát tán phần mềm độc hại.

Vấn đề phức tạp hơn nữa là việc lập chỉ mục các URL cơ sở dữ liệu Firebase của các công cụ tìm kiếm như Bing, để lộ các điểm cuối dễ bị tổn thương cho bất kỳ người dùng Internet. Tuy nhiên, khi tìm kiếm bằng Google thì không trả lại kết quả.

Sau khi Google được thông báo về những phát hiện vào ngày 22/4/2020, gã khổng lồ tìm kiếm cho biết họ sẽ liên hệ với các nhà phát triển bị ảnh hưởng để khắc phục các vấn đề.

Đây không phải là lần đầu tiên cơ sở dữ liệu Firebase bị rò rỉ thông tin cá nhân. Các nhà nghiên cứu từ công ty bảo mật di động Appthority (Mỹ) đã tìm thấy trường hợp tương tự hai năm trước, làm lộ 100 triệu bản ghi.

Việc một cơ sở dữ liệu có thể truy cập mà không yêu cầu bất kỳ xác thực nào như một lời mời mở cho những kẻ tấn công. Do đó, các nhà phát triển ứng dụng nên tuân thủ các quy tắc cơ sở dữ liệu của Firebase để bảo mật dữ liệu và ngăn chặn truy cập trái phép.

Người dùng chỉ nên sử dụng các ứng dụng đáng tin cậy và thận trọng với thông tin được chia sẻ với một ứng dụng.

Nguyễn Anh Tuấn

(Theo The Hacker News)

‹ › ×

Tin liên quan

Nhiều ứng dụng lộ hành vi thu thập dữ liệu người dùng trên iOS 14

14:00 | 03/07/2020

Bên cạnh 53 ứng dụng bị cho là thu thập dữ liệu người dùng, iOS 14 cũng chỉ ra ứng dụng nhắn tin Zalo âm thầm đọc bộ nhớ tạm thời của người dùng.

Ứng dụng trên Google Play khai thác lỗ hổng Android để phát tán phần mềm gián điệp

10:00 | 16/01/2020

Mới đây, Google đã gỡ bỏ ba ứng dụng độc hại trên cửa hàng ứng dụng Google Play. Trong đó, có một ứng dụng khai thác lỗ hổng leo thang đặc quyền trong nhân Android (CVE-2019-2215) để cài đặt ứng dụng độc hại nhằm theo dõi người dùng.

Cảnh báo mất tiền, lộ thông tin cá nhân với ứng dụng FacePlay

08:00 | 26/08/2021

Một ứng dụng có tên FacePlay đang gây sốt trên mạng xã hội thời gian gần đây. Ứng dụng này cho phép ghép mặt người dùng vào những video có sẵn hoá thân thành nhân vật cổ trang, siêu anh hùng, hotgirl hay những nhân vật khác. Điều này khiến cho nhiều người tò mò và thích thú bởi khả năng xử lý và ghép gương mặt người dùng vào video một cách khá ấn tượng và ăn khớp. Tuy nhiên theo các chuyên gia, nếu không cẩn thận người dùng có thể bị mất tiền bị lộ lọt các thông tin cá nhân khi sử dụng ứng dụng này.

Mã độc Fireball lây nhiễm gần 250 triệu máy tính trên toàn thế giới

08:34 | 13/06/2017

Mới đây, các nhà nghiên cứu của Check Point đã phát hiện ra một chiến dịch lây nhiễm mã độc lớn, ảnh hưởng tới trên 250 triệu máy tính chạy hệ điều hành Windows và Mac OS trên toàn thế giới.

Google vá lỗ hổng nghiêm trọng trong Media Framework Android

08:00 | 25/09/2020

Google đã thực hiện vá những lỗ hổng nghiêm trọng trong Media Framework của hệ điều hành Android. Nếu khai thác thành công lỗ hổng, tin tặc có thể thực hiện các cuộc tấn công thực thi mã từ xa trên các thiết bị dễ bị tấn công.

VivaVideo bị phát hiện "moi" tiền người dùng

16:00 | 17/12/2020

Mới đây, nhóm nghiên cứu Secure-D (có trụ sở tại Malaysia và Thailand) đã phát hiện nhiều thủ đoạn lén lút trong ứng dụng VivaVideo để tạo doanh thu bất hợp pháp.

Cẩn trọng với các ứng dụng dùng thử miễn phí

08:00 | 12/04/2021

Các ứng dụng dùng thử miễn phí trên cửa hàng lưu trữ trực tuyến từ lâu đã trở thành sự lựa chọn yêu thích của nhiều người dùng. Tuy nhiên, rủi ro mất an toàn thông tin, mất tiền lại đi kèm với những miếng bánh tưởng chừng như béo bở này.

Một phần mềm độc hại trên Android có thể cung cấp cho tin tặc toàn quyền kiểm soát điện thoại thông minh

13:00 | 03/02/2021

Một sự kết hợp của 2 loại phần mềm độc hại lâu đời đã tạo ra một phần mềm mới có khả năng cung cấp cho tin tặc quyền truy cập của người dùng trên điện thoại sử dụng Android. Chỉ với giá 29,99 USD, tin tặc có thể sở hữu để đánh cắp dữ liệu cá nhân nhạy cảm.

Phát hiện lỗ hổng VPN bypass trong iOS 13.4

10:00 | 09/04/2020

Proton VPN vừa công khai lỗ hổng bảo mật chưa được vá trong phiên bản iOS 13.4, ngăn VPN mã hóa lưu lượng truy cập trong iPhone. Bài viết dưới đây giải thích bản chất lỗ hổng bảo mật và giới thiệu những phương thức có thể làm giảm thiểu rủi ro cho đến khi Apple khắc phục vấn đề này.

Tin cùng chuyên mục

Tin tặc có thể sử dụng AI tạo sinh để thao túng các cuộc trò chuyện trực tiếp

09:00 | 09/04/2024

Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.

Giải mã phần mềm độc hại SugarGh0st RAT mới nhắm vào Chính phủ Uzbekistan và người dùng tại Hàn Quốc

12:00 | 15/12/2023

Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.

Phân tích biến thể mới của phần mềm độc hại SysJoker trong các cuộc tấn công mạng nhắm vào Israel

16:00 | 01/12/2023

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.

Tin tặc tấn công nhiều cảng của Australia

14:00 | 29/11/2023

Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.