100.000’den fazla Google Play indirmesine ve 4,5 yıldızlı ortalama derecelendirmeye sahip bir Android uygulaması, açık bir örneğin kontrol edilmemesine ve hassas kullanıcı verilerinin ele geçirilmesine izin verdi.
Snatch ekibi, Android uygulamasının Barcode to Sheet’in, uygulama yaratıcıları tarafından saklanan hassas kullanıcı bilgilerini ve kurumsal verileri sızdırdığını keşfetti.
Barcode to Sheet’in Google Play mağazasında 100.000’den fazla indirmesi var ve e-ticaret müşterilerine odaklanıyor. Uygulama, kullanıcıların verileri barkodlardan e-tablo uygulamaları tarafından tanınabilen çeşitli formatlara aktarmalarına olanak tanıyan bir barkod tarayıcı olarak çalışır.
Ekip, uygulama geliştiricilerinin 368 MB’ın üzerinde veri içeren Firebase veri tabanını herkesin erişimine açık bıraktığını tespit etti. Firebase, genellikle uygulamaların topladığı verileri depolamak için kullanılan, herhangi bir uygulamaya yönelik gerçek zamanlı bir veri depolama hizmetidir.
“Sızdırılan veriler hassastır”
Açık sunucudaki kurumsal verilerin bir kısmı düz metin olarak saklanıyordu. Ekibe göre ürünler, raporlar, e-postalar ve kullanıcı kimlikleri hakkındaki bilgiler bu şekilde saklanıyordu. Bu arada kullanıcı şifreleri MD5 hash formatında saklanıyordu.
MD5, koruması gereken metni karma hale getirirken, format birden fazla güvenlik açığına sahiptir ve kilidini açmak için karmaşık programlama bilgisi gerektirmez.
Açık sunucu ayrıca, erişim anahtarları ve kimliklerle birlikte uygulamanın istemci tarafında olası hassas bilgileri de depoladı. Erişilebilir bırakılan ayrıntılar arasında web istemcisi kimliği, Google uygulama programlama arayüzü (API) anahtarı, Google uygulama kimliği, kilitlenme raporlama anahtarı ve genellikle yalnızca uygulamanın geliştiricilerine yönelik diğer bilgiler yer alıyordu.
Örneğin, Firebase kullanan bir uygulama için gönderilen benzersiz bir genel tanımlayıcı olan web istemci kimliğine yetkisiz erişim, tehdit aktörlerinin daha az kısıtlamayla kimlik avı saldırıları gerçekleştirmesine olanak tanır. Bu arada, Google API anahtarına erişim, Google uygulama kimliğiyle birleştirildiğinde, hizmete ve söz konusu hizmet tarafından gönderilen verilere tam erişim sağlar.
“Sızdırılan veriler hassastır. Cybernews ekibi, yalnızca uygulamanın istemci tarafında saklanan uygulamanın sırlarını değil, aynı zamanda kullanıcıların şifreleri de dahil olmak üzere kurumsal ve kullanıcı bilgilerini de içerdiğini söyledi.
Karanlık web tehlikeleri
Açık veritabanı, yarım milyondan az kullanıcısı olan bir uygulama için önemli miktarda veriye sahipti. Tehdit aktörleri böyle bir veri kümesini ele geçirirse genellikle karanlık ağa ulaşır.
Suçlular, tüketicilerin sızdırılan kişisel bilgilerini (PII) mali kazanç ve kimlik hırsızlığı amacıyla kullanıyor. Örneğin, kredi kartı ve sosyal güvenlik numaraları 20 doların altında bir fiyata satın alınabiliyor.
Kimlik avı yapanların genellikle büyük veri kümeleri kullanarak saldırıları otomatikleştirmesi nedeniyle, tehdit aktörleri açık verileri kimlik avı ve kimlik bilgileri doldurma yoluyla kurbanlara zarar vermek için kullanabilir. Bazen saldırıyı değerli kılmak için binlerce kurbandan yalnızca tek bir kurban yeterli olabilir.
Bu arada Satch ekibi, rakiplerin, Barkod’un Sayfaya bıraktığı verileri, uygulamayı kullanan işletmelere göre avantaj elde etmek için kullanabileceğine dikkat çekti.
“Rakipler verileri fikri mülkiyet casusluğu amacıyla kullanabilir. Snatch ekibi, bunu yapmanın bir yolunun kullanıcı tercihlerini analiz etmek ve uygulamayı kullanan şirketin stokunda ne tür ürünler bulunduğunu kontrol etmek olacağını söyledi.
Ekibimiz, ihlal konusunda onları bilgilendirmek için Barcode to Sheet geliştiricilerine ulaştı ve kendilerine bir çözüm üzerinde çalıştıkları söylendi.