导读 一个相对流行的Android语音聊天应用程序被发现泄露了敏感的用户数据,任何知道在哪里查看的人都可以访问它。OyeTalk应用程序使用谷歌的Fire
一个相对流行的Android语音聊天应用程序被发现泄露了敏感的用户数据,任何知道在哪里查看的人都可以访问它。
OyeTalk应用程序使用谷歌的Firebase移动应用程序开发平台,该平台还提供云托管数据库。据Cybernews的研究人员称,OyeTalk的Firebase实例没有密码保护,这意味着它的内容可供所有人查看。
研究人员进一步解释说,这些内容包括人们的用户名、未加密的聊天记录和IMEI号码。最后一点更令人担忧,因为威胁行为者(以及执法部门)可以使用IMEI来识别(在新标签页中打开)设备及其合法所有者。
“在每条发送的消息中泄露IMEI号码是一种巨大的隐私侵犯,因为该消息与特定设备及其当时的所有者永久关联,”研究人员说。“威胁行为者可以利用它来勒索赎金。”
除了敏感的用户数据外,该应用程序还泄露了API密钥和谷歌存储桶等秘密,因为据称这些是在应用程序的客户端硬编码的。对于Cybernews的研究人员来说,这是开发人员的“草率”工作,因为像这样将敏感数据硬编码到Android应用程序的客户端是“不安全的,因为在大多数情况下可以通过逆向工程轻松访问它。”
研究人员警告说:“过去,这种草率的安全做法已被其他应用程序中的威胁行为者成功利用,导致数据丢失或完全接管存储在开放式Firebase或其他存储系统上的用户数据。”
Cybernews称,即使在收到开放数据库的通知后,开发人员也没有采取任何行动,但幸运的是,谷歌的安全措施设法关闭了该实例。