Check Point Research：23款Android程式因雲端配置錯誤，讓1億用戶的資料曝險

資安業者Check Point Research本周指出，該公司研究人員發現有23款Android應用程式所使用的第三方雲端服務配置錯誤，可能讓全球超過1億的Android用戶個資曝險，包括有13款程式的即時雲端資料庫缺乏密碼保護，還有些程式把通知與雲端儲存的金鑰直接置放在程式碼中。

即時資料庫允許開發者把資料存放在雲端，並讓Android用戶隨時可與雲端同步，不過，若開發者並未替即時資料庫設定密碼時，代表所有人都可存取該資料庫，並取得程式用戶的各種機密資訊。

例如超過1,000萬次下載的星座程式Astro Guru，就因配置錯誤而外洩了使用者的姓名、生日、性別、位置、電子郵件與支付資訊。或者是超過5萬次下載的叫車程式T’Leva，也因配置錯誤而外洩了乘客的姓名、電話號碼與接送位置。

圖片來源／Check Point Research

研究人員還發現有通知管理程式把金鑰存放在程式碼中，一旦駭客取得了該金鑰，就能任意發送通知予使用者，包括詐騙訊息及網釣連結。

另有程式將雲端儲存金鑰置放在程式碼中，像是超過1,000萬次下載量的Screen Recorder，它可用來紀錄與保存使用者的螢幕畫面，由於開發者也將使用者的私鑰存放在同一雲端儲存服務上，使得研究人員得以取得使用者的私鑰，並存取使用者的所有螢幕畫面。擁有50萬用戶的傳真程式iFax同樣把雲端儲存金鑰嵌入程式裡，讓駭客能夠存取使用者的所有傳真文件。

Check Point Research同時知會了Google與這23款程式的開發者，迄今已有部份程式修補了相關漏洞。