54701778758
Tiskové zprávy

Data uživatelů více než 19 tisíc aplikací pro Android jsou v ohrožení

Někteří vývojáři chybně konfigurují databáze Firebase a ohrožují uživatelská data v aplikacích – od těch na rozvoz jídla až po hry

Někteří vývojáři chybně konfigurují databáze Firebase a ohrožují uživatelská data v aplikacích – od těch na rozvoz jídla až po hry


Praha, 7. září 2021  Avast (LSE:AVST), globální lídr v oblasti digitálního zabezpečení a ochrany soukromí, zjistil, že více než 19 300 aplikací pro Android má volně přístupná data uživatelů. Na vině je chybná konfigurace databáze Firebase, kterou vývojáři pro Android často používají k ukládání právě uživatelských dat. V ohrožení jsou tak data mnoha různých aplikací – od lifestylových, fitness, herních až po ty, které pomáhají doručovat poštu nebo jídlo po celém světě včetně Evropy, jihovýchodní Asie a Jižní Ameriky. 

 

Vývojáři používají Firebase k vývoji mobilních a webových aplikací pro operační systém Android. Svou implementaci Firebase však mohou otevřít ostatním kolegům, takže technicky vzato je dostupná i pro veřejnost. Výzkumníci z laboratoří Avast Threat Labs prozkoumali 180 300 veřejně dostupných instancí Firebase a zjistili, že více než 10 % (19 300) je otevřených a zpřístupňuje data také neautorizovaným vývojářům. Jde tedy o chybu ze strany vývojářů, která vystavuje osobní údaje uživatelů riziku krádeže.

Odhalená data zahrnují osobní údaje jako jsou jména, data narození, adresy, telefonní čísla, údaje o poloze, tokeny a klíče různých služeb. Pokud vývojáři navíc používají špatné bezpečnostní postupy, mohou záznamy obsahovat i hesla v prostém textu. 

 

„U takto otevřených dat hrozí, že uniknou na internet, což může představovat velké obchodní, právní a regulatorní riziko. Potenciálně mohou být ohroženy osobní údaje více než 10 % uživatelů aplikací založených na Firebase,“ vysvětluje výzkumík malwaru v Avastu Vladimir Martyanov. „Svou aplikaci má v dnešní době téměř každá firma, od obchodů přes posilovny, poštovní služby, až po různé dárcovské platformy. Tyto společnosti by měly trvat na odpovědném vývoji svých aplikací, aby se bezpečnost a ochrana soukromí staly klíčovou součástí celého procesu, nikoliv jen poslední položkou na seznamu.“

O svých zjištěních informoval Avast společnost Google, aby mohla předat zprávu přímo vývojářům aplikací a přijmout opatření k nápravě. 

 

Avast také doporučuje přímo vývojářům, aby se informovali o potenciálním riziku špatně nakonfigurovaných databází a řídili se osvědčenými postupy společnosti Google.

 

„Vyzýváme všechny vývojáře, aby si zkontrolovali, že jejich databáze a další úložiště jsou správně nakonfigurovaná, ochránili tak data uživatelů a učinili náš digitální svět bezpečnějším,“ dodává Vladimir Martyanov.

 

Více informací k výzkumu naleznete na našem technickém blogu Avast Decoded.