安卓语音聊天程序OyeTalk泄露用户信息
一款流行的语音聊天应用程序 OyeTalk 将未加密的用户聊天记录存储在没有密码保护的数据库中。
近年来,随着在线交流需求的增加,语音聊天越来越受欢迎。语音聊天已成为促进教育、学习、社交、游戏和工作目的的数字通信的重要工具。
市场上有许多具有语音聊天功能的应用程序,包括Discord、Zoom、Skype、Google Meet、Microsoft Teams 和 WhatsApp 等知名应用程序。
Cybernews的研究发现,OyeTalk——一款在Google Play商店下载量为500万的语音聊天程序,在21,000条评论中获得 4.1 星评分(满分 5 星评分)——已将其数据库向公众开放,从而暴露了用户的私人数据和聊天信息.OyeTalk 平台允许用户在讨论室中就各种主题进行互动并主持播客。在网站上,该应用被宣传为“增长最快的音频人才托管应用之一”,可在 100 多个国家/地区下载。
为什么这很重要
研究人员发现,OyeTalk通过不受保护地访问Firebase来泄露数据,Firebase是谷歌提供云托管数据库服务的移动应用程序开发平台。
如果泄露的数据没有备份,恶意行为者选择删除数据集,则用户的私人消息可能会永久丢失且无法恢复。
开放的Firebase实例暴露了超过500MB的数据,包括未加密的用户聊天记录、用户名和手机国际移动设备识别码 (IMEI) 。
IMEI 号码是分配给所有出厂制造的手机、平板电脑和其他具有蜂窝连接功能的设备(例如智能手表)的唯一标识符。使用 IMEI,执法人员和威胁行为者可以识别设备和设备的合法所有者。在每条发送的消息中泄露 IMEI 号码是一种巨大的隐私侵犯,因为该消息在当时与特定设备及其所有者永久关联。威胁行为者可以利用它来勒索赎金。
除了一个开放的Firebase实例,开发人员还在应用程序的客户端留下了一些敏感信息,通常称为密钥,这些信息被硬编码,包括 Google API(应用程序编程接口)密钥和到Google存储空间的链接。
将敏感数据硬编码到Android 应用程序的客户端是不安全的,因为在大多数情况下可以通过逆向工程轻松访问这些数据。过去,这种草率的安全做法已被其他应用程序中的威胁行为者成功利用,导致数据丢失或完全接管存储在开放式Firebase或其他存储系统上的用户数据。
应用程序开发人员被告知数据泄漏,但未能关闭对数据库的公共访问。然而,由于泄漏太大,谷歌的安全措施设法关闭了实例,通知数据集太大无法一次性下载。
这已经不是第一次
最近的数据泄露事件并不是第一次影响到OyeTalk应用程序。Cybernews的一项调查显示,该数据库之前被发现并被标记为易受未知行为者数据泄露的影响,可能没有恶意。该数据库包含用于标记打开的 Firebase 的特定指纹,称为“PoC”。
PoC 显示研究人员或威胁参与者以编程方式访问了一个开放的firebase并将其标记为易受攻击。此类入侵表明数据库缺乏查看数据的适当身份验证以及插入或编辑现有数据的适当权限。例如,假设数据库可供任何人访问并包含敏感数据,例如管理员的电子邮件登录:在这种情况下,恶意行为者可以将电子邮件地址更改为自己的地址,然后使用“忘记密码”功能获得对应用程序中的管理员帐户。
Android的数据泄露隐忧
OyeTalk 是 Google Play 商店中数以千计易受数据泄露影响的应用程序之一。
今年早些时候,Cybernews 分析了 33,000 多个Android 应用程序,发现暴露的最敏感的硬编码秘钥类型是用于授权项目的应用程序编程接口 (API) 密钥、打开 Firebase 数据集的链接和Google存储空间。
结果显示,超过14,000个应用程序的前端有Firebase URL。其中,超过600个是指向打开实例的链接。这意味着通过检查应用程序的公共信息并进行逆向工程,恶意行为者就可以获得对数据库的访问权限并有可能访问用户数据。
包含最多硬编码秘钥的五类应用程序是健康和健身、教育、工具、生活方式和商业。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4365.html
