1亿Android用户的数据被暴露

由于云服务的各种错误配置，已经暴露了超过1亿Android用户的个人数据。

这些数据是在23个应用程序使用的不受保护的实时数据库中找到的，这些应用程序已被10,000至1,000万用户下载，还包括内部开发人员资源。

错误配置的实时数据库并不是什么新鲜事物，但是令人惊讶的是，有些Android开发人员仍然没有遵循基本的安全惯例来限制对应用程序数据库的访问。

出现配置错误问题的移动应用程序表明，这是一个普遍存在的问题，可以很容易地将其用于恶意目的。

应用程序开发人员使用实时数据库将数据存储在云中，并与连接的客户端实时同步。

Check Point研究人员发现，其中一些数据库没有受到保护，任何人都可以轻松访问个人信息，包括超过1亿用户的敏感数据。

数据包括姓名，电子邮件地址，生日，聊天消息，位置，性别，密码，照片，付款明细，电话号码，推送通知。

Google Play中提供了一些公开此类信息的应用，并且安装了超过1000万次（Logo Maker，Astro Guru）。T'Leva等不太受欢迎的应用程序甚至拥有大量用户，安装数量在10,000到500,000之间。

研究人员还发现一些测试过的应用程序中嵌入了与开发人员相关的敏感细节。在应用程序中，他们还找到了推送通知服务的凭据。

Google Play上名为In Screen Recorder的应用程序具有云存储密钥，可以从其中的设备访问用户的屏幕截图。

iFax Android应用程序还存储了云存储密钥，数据库中包含来自500,000多名用户的文档和传真传输。

一些开发人员采用了“通过隐秘性进行安全保护”的原理，并使用base64编码对密钥进行了加密，但是由于解码不受保护，因此它没有添加任何保护。

Check Point研究人员分析了23种应用程序，其中有12种在Google Play上的安装次数超过了1000万，其中大多数具有不受保护的实时数据库，从而暴露了敏感的用户信息。