Android app教學 示範 Check Point揭過億用戶陷安全風險
2021-05-24不少人都會試玩手機 app ,不過,上得架並不等於安全,好似網絡安全公司 Check Point 最新的研究報告便顯示,有 23 款 Android app 的雲端服務設定存在漏洞,過億用戶曝露於被攻擊的風險。更嚴重是專家通知開發者後,只得幾個人有反應。看來開發者要多留意 Android app教學 ,由一開始便要考慮這些安全問題。
目錄
調查報告變 Android app教學 示範
手機 app 開發者利用雲端服務,以儲存用家資料或推送通知等,已是大勢所趨,因為使用第三方雲端服務既可免卻購置及管理基礎設施的時間,而且亦更靈活及成本更低。不過,有很多開發者卻不熟悉雲服務的安全設定,又或在設計程式時忽略了安全考慮,因此便經常發生數據外洩事故,例如上星期便有58款家長監控app出事。今次 Check Point 進行的研究,便專門針對開發者的雲端安全漏洞,結果便揪出 23 款 Android apps ,總下載量高達一億,影響範圍極廣。 Check Point 專家在報告中解釋,開發者的雲端服務漏洞主要出在三方面,分別是實時數據庫、通知推送及雲端帳戶密碼,可說是開發者必須注意的 Android app 教學示範。
實時數據庫欠驗證
相關安全設定的問題愈來愈普遍,為了向用家提供最新的資訊,開發者會讓手機 app 存取雲端數據庫內的資訊,但專家指交換資訊時卻欠缺安全驗證,因此只要黑客假扮成其中一個用家向資料庫發出讀取資料要求,雲端儲存系統便會回傳所需資料。以其中一款過千萬下載量的星座 app Astro Guru 為例,專家便輕鬆從資料庫取得用家的大量私隱,包括姓名、出生日期、位置、電郵及信用卡資料,而另一款下載量僅5,000的 taxi app ,則連用家的對話記錄也能還原。
推送假通知
專家指手機 app 雖然在推送通知時有金鑰驗證過程,不過,這些金鑰卻內存於手機 app 的檔案內,黑客只要掌握這些金鑰,便可假扮成開發者向用家發出虛假的系統更新或釣魚連結,由於資訊由開發公司發送出來,用家便較易上釣。
雲端帳戶密碼誤存
專家指出,至少有兩款 apps 會將用家帳戶的密碼,直接儲存在app內。其中一款過千萬下載量的儲存截屏 app Screen Recorder ,黑客便可在 app 內找出帳戶密碼,從而讀取用家儲存於雲端上的記錄。另一款 iFax app 則更離譜,除了可在 app 內找到帳戶密碼,更可還原曾收發的傳真內容。
啟用多重因素驗證
Check Point 已將研究報告通知上述的 23 款 Android app 開發者,不過暫時只得幾間有反應,而為了確保其他 apps 的用家安全,研究團隊現時仍未公開這些 app 的名字。始終手機 app 的雲端設定問題並非只跟 Android 有關,早前就有一份調查報告,顯示 14% iOS 及 Android 手機應用程式設定出錯,導致用戶資料可網上任睇。作為用家,由於這些漏洞出在開發者本身,要自保的話,便只能盡量減少安裝新推出的app。另外如果app支援多重因素驗證(multi-factors authentication)功能,用家亦應啟用,雖然登入帳戶會較麻煩,但帳戶就可獲得多一重保護。