- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Кроме того, разработчики приложений жестко закодировали конфиденциальные данные в клиентской части приложения, что сделало его уязвимым для дальнейших утечек данных.
Tap Busters: Bounty Hunters — это ролевая игра в режиме ожидания, которую скачали более 1 миллиона человек в магазине Google Play, а рейтинг 4,5 звезды основан на более чем 45 000 обзоров. Игра в режиме ожидания — это игра, в которой игрок не взаимодействует с игрой во время ее работы.
Исследователи обнаружили, что в Tap Busters: Bounty Hunters произошла утечка данных через незащищенный доступ к Firebase, платформе разработки мобильных приложений Google, которая предоставляет услуги облачных баз данных. Тем временем любой мог получить доступ к базе данных.
Незащищенный набор данных объемом 349 МБ содержит:
- ID пользователей;
- имена пользователей;
- временные метки;
- личные сообщения.
Наряду с открытым экземпляром Firebase разработчики оставили некоторую конфиденциальную информацию – секреты, жестко закодированные на стороне клиента приложения. Были найдены следующие ключи:
- fir ebase_database_url;
- gcm_defaultSenderId;
- default_web_client_id;
- google_api_key;
- google_app_id;
- google_crash_reporting_api_key;
- google_storage_bucket.
База всё еще открыта
Разработчиком игры является компания Tilting Point, которой принадлежит несколько других успешных игр с большим сообществом игроков. Некоторые из этих игр скачали более 5 миллионов раз. Разработчик приложения был проинформирован об утечке данных, но не смог закрыть публичный доступ к базе данных.
Разработчики приложения не ответили на вопросы Cybernews о продолжительности публичного доступа к экземпляру или возможности того, что злоумышленники могут использовать жестко запрограммированные секреты, что приведет к утечке конфиденциальных данных.
Однако на данный момент в экземпляре Firebase было так много данных, что получение их всех за один запуск будет невозможным для хакера из-за политик передачи данных Google, в результате чего экземпляр имел слишком большую полезную нагрузку, чтобы на нее можно было воздействовать.
В декабре специалисты Cybernews обнаружили, что Android-приложение для веб-серфинга «Web Explorer - Fast Internet» раскрывает конфиденциальные данные приложения и историю просмотра пользователей. Раскрытие данных произошло из-за того, что разработчики оставили открытой базу данных пользователей на платформе Firebase.