Мессенджер на Android OyeTalk раскрыл личные разговоры пользователей

Исследователи безопасности Cybernews заявили, что популярное приложение на Android для голосовых чатов OyeTalk хранило незашифрованные пользовательские чаты в базе данных, не защищенной паролем.

OyeTalk — приложение для голосового чата с 5 млн. загрузок в Google Play и рейтингом 4,1 из 5 звезд на основе 21 000 отзывов — оставило свою базу данных открытой общедоступной, раскрыв личные данные и разговоры пользователей.

Данные пользователей OyeTalk утекли через незащищенный доступ к Firebase, платформе разработки мобильных приложений Google, которая предоставляет услуги облачных баз данных. Если бы данные не были скопированы, а злоумышленник решил удалить их, возможно, что личные сообщения пользователей были бы безвозвратно утеряны без возможности восстановления.

Открытый экземпляр Firebase предоставил более 500 МБ данных, включая незашифрованные пользовательские чаты, имена пользователей и IMEI-номера. Используя IMEI, киберпреступник может идентифицировать устройство и его владельца, а затем вымогать у него выкуп.

Наряду с открытым экземпляром Firebase разработчики оставили некоторую конфиденциальную информацию – так называемые секреты, жестко закодированные на стороне клиента приложения, включая API-ключ Google и ссылки на сегменты хранилища Google.

Жесткое кодирование конфиденциальных данных на клиентской стороне приложения для Android небезопасно, поскольку в большинстве случаев к ним можно легко получить доступ с помощью реверс-инжиниринга.

Разработчики приложения были проинформированы об утечке, но не закрыли публичный доступ к базе данных. Однако Google закрыла экземпляр и добавила, что набор данных слишком велик для загрузки за один раз.

Расследование Cybernews показывает, что база данных OyeTalk была ранее обнаружена и помечена как уязвимая для утечки данных. База данных содержала определенные цифровые отпечатки, используемые для маркировки открытых баз Firebase.

По словам специалистов, хакер получил доступ к открытой базе данных и пометил ее как уязвимую. Такие вторжения демонстрируют, что в базе данных отсутствует надлежащий механизм аутентификации для просмотра данных и надлежащая система авторизации для вставки или редактирования существующих данных.

Другими словами, если база содержит адрес электронной почты администратора, то злоумышленник может изменить его на свой, а затем восстановить пароль через свою электронную почту, используя функцию «забыл пароль», чтобы получить доступ к учетной записи администратора в приложении.

OyeTalk – не единственное приложение, у которого возникла такая ситуация. Ранее исследователи Cybernews сообщали, что Android-приложение для веб-серфинга «Web Explorer - Fast Internet» раскрывает конфиденциальные данные приложения и историю просмотра пользователей через открытую базу данных на платформе Firebase.