Android-apps die persoonlijke gegevens van miljoenen blootleggen: wat u moet weten

Een recente studie heeft aangetoond dat meerdere Android toepassingen zijn: persoonlijke informatie vrijgeven voor miljoenen gebruikers. Dit omvat e-mailadressen, wachtwoorden, gebruikerslocatie en meer - allemaal omdat bepaalde ontwikkelaars de cloudfuncties van hun apps niet goed hebben beveiligd.

Onveilige smartphone-applicaties zijn anno 2021 niets nieuws. Met miljoenen apps die beschikbaar zijn voor zowel de App Store als Google Play, is het alleen maar logisch dat sommige hiervan niet worden ondersteund door de juiste beveiligingsnormen. Afgelopen maart bleek bijvoorbeeld dat ongeveer 20.000 Android- en iOS-apps gegevens op cloudservices opsloegen zonder dat dit nodig was beveiligingsfuncties om het te beschermen - waardoor het voor een slechte acteur ongelooflijk gemakkelijk wordt om wachtwoorden, profielfoto's en veel te bemachtigen meer.

Nu een nieuw verslag van Check Point-onderzoekheeft meer toepassingen gevonden in een vergelijkbare situatie. CPR identificeerde in totaal 23 Android-apps, en wanneer gecombineerd, zijn

mogelijk blootstellen van die gegevens voor meer dan 100 miljoen individuen. Niet elke app wordt bij naam genoemd, hoewel de genoemde Astro Guru (een astrologie-/horoscoop-app), een gratis logo-maker en een schermrecorder-app zijn. In al deze toepassingen omvatten kwetsbare gegevens alles, van telefoonnummers, namen, e-mailadressen, wachtwoorden, locatie-informatie, geüploade afbeeldingen en meer.

Hoe deze Android-apps gebruikersinformatie tonen

CPR ontdekte dat deze Android-apps gebruikersinformatie op een paar verschillende manieren blootgeven - de eerste heeft te maken met hoe ze cloudservices van derden gebruiken. Deze cloudservices worden vaak gebruikt om realtime databases te maken waarmee ontwikkelaars hun apps eenvoudig kunnen bijwerken en synchroniseren tussen hen en de gebruikers. Databases zoals deze zijn van cruciaal belang voor de meeste apps vandaag, maar als ze de best practices voor het beveiligen van wat erop is opgeslagen niet volgen, is die informatie direct beschikbaar voor iedereen die weet hoe hij ernaar moet zoeken. Sommige gegevens worden ook blootgesteld omdat cloudservices worden gebruikt voor het opslaan van gebruikersgegevens. In het geval van de app voor schermopname kunnen gebruikers hun smartphone opnemen/screenshots maken en toegang krijgen tot die bestanden via de cloudfunctie van de app. Dat klinkt op zich al onschuldig genoeg, maar CPR zegt dat het gemakkelijk toegang had tot beveiligingssleutels die "toegang verlenen tot elke opgeslagen opname."

Hoewel de ontwikkelaars misschien niets kwaadaardigs doen met de informatie die ze verzamelen, is het feit dat het schijnbaar op elk moment toegankelijk is waar het echte gevaar ligt. Het enige dat nodig is, is dat één persoon met voldoende knowhow een van deze kwetsbare applicaties vindt, toegang krijgt tot alle gebruikersgegevens en er vervolgens mee doet wat hij of zij goeddunkt. Een situatie als deze is niet per se nieuw in 2021, maar het dient als een goede herinnering om slim te zijn over welke apps veilig kunnen worden gedownload en welke moeten worden vermeden

Als iemand een willekeurige app of game tegenkomt, is het waarschijnlijk uit voorzichtigheid het beste om het downloaden ervan te vermijden. Bovendien, als iemand een van deze apps gebruikt en een wachtwoord heeft, unieke wachtwoorden gebruiken voor elke online login kan ervoor zorgen dat een uitgelekt wachtwoord een hacker niet ook toegang geeft tot een bankrekening, investeringsapp of iets anders. Apps met ontbrekende beveiligingsfuncties zullen niet snel verdwijnen. Door echter online gezond verstand te gebruiken, is het relatief eenvoudig om te voorkomen dat je in een situatie komt waarin zoveel persoonlijke informatie voor het grijpen ligt.

Bron: Check Point-onderzoek

Kevin Feige heeft zojuist zijn eigen MCU Grand Plan heroverd

Over de auteur