• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Игра на Android с 1 млн. загрузок сливает личные данные игроков

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Исследователи кибербезопасности Cybernews обнаружили, что разработчики RPG игры на Android Tap Busters: Bounty Hunters оставили свою базу данных общедоступной, раскрыв личные разговоры пользователей.

Кроме того, разработчики приложений жестко закодировали конфиденциальные данные в клиентской части приложения, что сделало его уязвимым для дальнейших утечек данных.

Tap Busters: Bounty Hunters — это ролевая игра в режиме ожидания, которую скачали более 1 миллиона человек в магазине Google Play, а рейтинг 4,5 звезды основан на более чем 45 000 обзоров. Игра в режиме ожидания — это игра, в которой игрок не взаимодействует с игрой во время ее работы.

Исследователи обнаружили, что в Tap Busters: Bounty Hunters произошла утечка данных через незащищенный доступ к Firebase, платформе разработки мобильных приложений Google, которая предоставляет услуги облачных баз данных. Тем временем любой мог получить доступ к базе данных.

Незащищенный набор данных объемом 349 МБ содержит:
  • ID пользователей;
  • имена пользователей;
  • временные метки;
  • личные сообщения.
Если бы злоумышленник просто удалил все данные, возможно, личные сообщения пользователей были бы безвозвратно утеряны без возможности восстановления.

Наряду с открытым экземпляром Firebase разработчики оставили некоторую конфиденциальную информацию – секреты, жестко закодированные на стороне клиента приложения. Были найдены следующие ключи:
  • fir ebase_database_url;
  • gcm_defaultSenderId;
  • default_web_client_id;
  • google_api_key;
  • google_app_id;
  • google_crash_reporting_api_key;
  • google_storage_bucket.
Стоит отметить, что жесткое кодирование конфиденциальных данных на клиентской стороне приложения для Android небезопасно, поскольку в большинстве случаев к ним можно легко получить доступ с помощью реверс-инжиниринга.

База всё еще открыта

Разработчиком игры является компания Tilting Point, которой принадлежит несколько других успешных игр с большим сообществом игроков. Некоторые из этих игр скачали более 5 миллионов раз. Разработчик приложения был проинформирован об утечке данных, но не смог закрыть публичный доступ к базе данных.

Разработчики приложения не ответили на вопросы Cybernews о продолжительности публичного доступа к экземпляру или возможности того, что злоумышленники могут использовать жестко запрограммированные секреты, что приведет к утечке конфиденциальных данных.

Однако на данный момент в экземпляре Firebase было так много данных, что получение их всех за один запуск будет невозможным для хакера из-за политик передачи данных Google, в результате чего экземпляр имел слишком большую полезную нагрузку, чтобы на нее можно было воздействовать.

В декабре специалисты Cybernews обнаружили, что Android-приложение для веб-серфинга «Web Explorer - Fast Internet» раскрывает конфиденциальные данные приложения и историю просмотра пользователей. Раскрытие данных произошло из-за того, что разработчики оставили открытой базу данных пользователей на платформе Firebase.
 
Сверху