23-android-apps-leaked-over-100-million-user-accounts

นักวิจัยด้านความปลอดภัยจาก Check Point ให้ข้อมูลกรณีแอปพลิเคชัน Android จำนวนมากที่ปล่อยให้ข้อมูลผู้ใช้รั่วไหลกว่า 100 ล้านบัญชี โดยสาเหตุอาจเกิดจากการตั้งค่าที่ผิดพลาด จนทำให้ตกเป็นเป้าของแฮกเกอร์ หรือผู้พัฒนาแอปพลิเคชัน Android เหล่านั้นไม่ปฏิบัติตาม best-practices ในการตั้งค่าและการนำไปใช้งานร่วมกับบริการ third-party cloud ของแอปพลิเคชัน จึงทำให้ข้อมูลส่วนตัวของผู้ใช้งานและทรัพยากรแอปพลิเคชัน เช่น การอัปเดตและที่เก็บข้อมูล ฯลฯ มีความเสี่ยงที่จะรั่วไหล ซึ่งมีตัวอย่างแอปพลิเคชันที่เกิดปัญหานี้ ได้แก่ Astro Guru, iFax, Logo Maker, Screen Recorder และ T’Leva เป็นต้น

ภาพ: ตัวอย่างแอปพลิเคชันที่พบข้อบกพร่องในการตั้งค่า เสี่ยงทำให้ข้อมูลผู้ใช้งานรั่วไหล

จากการตรวจสอบเพิ่มเติมของนักวิจัยฯ กล่าวอีกว่า ยังมีการตั้งค่าที่ไม่ถูกต้องของ real-time database ทำให้สามารถเข้าถึงข้อมูลของผู้ใช้งานได้ทั้งหมด เช่น แอปพลิเคชัน delivery ฟีเจอร์ข้อความแชทระหว่างผู้โดยสารและคนขับหรือ rider, ชื่อสกุล, เบอร์โทรศัพท์ รวมถึงจุดหมายปลายทางและจุดรับสินค้า เป็นต้น นอกจากนี้นักวิจัยยังพบว่าผู้พัฒนาแอปพลิเคชันยังฝัง key ที่จำเป็นเพื่อใช้ในการส่ง push notification ในแอปฯ ทำให้ผู้ไม่ประสงค์ดีสามารถส่ง notification หลอกไปยังผู้ใช้งานทุกคนในนามผู้พัฒนาทำได้ง่ายขึ้น หรือหลอกผู้ใช้งานให้คลิกลิงก์ไปยัง phishing page และกลายเป็นจุดเริ่มต้นของภัยคุกคามที่ซับซ้อนมากยิ่งขึ้น

 

ที่มา: https://thehackernews.com/2021/05/these-23-android-apps-expose-over.html

Tagged on:     


เนื้อหาที่เกี่ยวข้อง

1. ช่องโหว่ PrintNightmare กระทบ Windows ทุกเวอร์ชัน

2. พบช่องโหว่ Cisco ASA เสี่ยงถูกควบคุมเครื่อง แนะนำให้ผู้ใช้งานเร่งอัปเดต

3. ข้อมูลลูกค้า Volkswagen 5 ล้านรายการถูกขายบนแฮกเกอร์ฟอรั่ม

4. McDonald’s ยอมรับโดนแฮกข้อมูล

5. Rockyou2021 รวมรหัสผ่านรั่วไหลครั้งใหญ่ที่สุด กว่า 8.4 พันล้านรายการ