Slechte configuratie legt data van Android-apps bloot
Apps die gegevens van gebruikers in clouddiensten bewaren, gaan soms slordig om met de beveiliging daarvan. Zo blijken de data van verschillende apps onbeveiligd online te staan.
Beveiligingsbedrijf Check Point onderzocht 23 Android-apps en stelt vast dat bij verschillenden van hen het weinig moeite kost om gevoelige gegevens van gebruikers in te kijken. Het gaat daarbij om mails, chatberichten, locatie, wachtwoorden en foto’s die via dergelijke apps worden bewaard, maar slecht of niet zijn beveiligd.
Van die 23 apps waren er dertien waarvan privégegevens publiek beschikbaar waren. De ontwikkelaar liet de gegevens bewaren via clouddiensten, maar door die slecht te configureren blijft de data voor iedereen toegankelijk. Het securitybedrijf spreekt van apps die tienduizend tot tien miljoen keer zijn gedownload, waarbij de gegevens van honderd miljoen gebruikers zijn blootgesteld. Of ze ook effectief zijn ingekeken door anderen is niet bekend.
Chats en documenten
Het gaat onder meer om astrologie-app Astro Guru, of de Italiaanse Taxi-app T’Leva, waar chatberichten tussen chauffeurs en passagiers zichtbaar waren. Maar ook de app iFax bewaarde alle faxberichten in een slecht geconfigureerde cloud waardoor alle documenten zomaar in te kijken waren. Check point contacteerde de ontwikkelaars hierover, sommigen hebben nadien het veiligheidsprobleem aangepast.
Om welke clouddiensten het gaat zegt Check Point niet, maar het probleem op zich is niet nieuw. Vorige zomer vond een beveiligingsspecialist al duizenden slecht geconfigureerde S3 storage buckets op AWS. Een jaar eerder werden al vergelijkbare fouten ontdekt van ontwikkelaars die Facebookdata gebruiken. Of het ook deze keer om AWS-opslag gaat, is niet bekend.
Fout opgemerkt of meer nieuws? Meld het hier