Data van miljoenen Androidgebruikers is voor iedereen op internet toegankelijk doordat app-ontwikkelaars nalaten hun databases te beveiligen. Dat meldt securitybedrijf Check Point op basis van eigen onderzoek naar 23 apps. De apps, die bij elkaar meer dan honderd miljoen installaties hebben, maken gebruik van verschillende clouddiensten en databases voor het opslaan van de data van hun gebruikers.

Door verkeerde configuraties blijkt die data voor iedereen toegankelijk te zijn. Zo zijn de databases zonder authenticatie toegankelijk. In de databases staan onder andere namen, geboortedata, e-mailadressen, documenten, chatberichten, locatiegegevens, wachtwoorden, foto’s en schermopnamen. Het gaat onder andere om de apps Logo Maker, Astro Guru, T’Leva, Screen Recorder en iFax. De andere apps zijn niet door Check Point bekendgemaakt.

“Deze misconfiguratie van real-time databases is niet nieuw, en komt nog steeds op grote schaal voor, met gevolgen voor miljoenen gebruikers. Het enige wat de onderzoekers van Check Point hoefden te doen, was proberen toegang te krijgen tot de gegevens. Er was niets om de ongeoorloofde toegang tegen te houden”, zo laat het securitybedrijf weten.

Naast de onbeveiligde databases vonden de onderzoekers in verschillende apps ook de sleutels om toegang tot de cloudopslag van de app te krijgen. Check Point waarschuwde zowel de app-ontwikkelaars als Google voor de publicatie van de bevindingen. “Enkele” van de apps hebben na de waarschuwing hun configuratie aangepast.

Source