‘Ontwikkelaars vergeten best practices’

Abonneer je gratis op Techzine!

De gegevens van miljoenen gebruikers in realtime databes zijn eenvoduig toegankelijk door nalatigheid appontwikkelaars.

Check Point Research heeft ontdekt dat veel applicatieontwikkelaars de afgelopen maanden hun gegevens en de gegevens van gebruikers in gevaar hebben gebracht. Doordat zij bij het configureren en integreren van third party cloudservices in applicaties nalieten om best practices te volgen, werden de privégegevens van miljoenen gebruikers blootgesteld.

Applicatieontwikkelaars gebruiken realtime databases om gegevens in de cloud op te slaan en ervoor te zorgen dat deze in realtime worden gesynchroniseerd met elke verbonden client. Uit het onderzoek kwam naar voren dat veel ontwikkelaars zulke realtime databases echter (nog steeds) niet configureren met een van de meest basale functies: authenticatie.  

Het enige dat de onderzoekers in veel gevallen hoefden te doen, was proberen toegang te krijgen tot de gegevens van miljoenen gebruikers. Er was niets om te voorkomen dat de ongeautoriseerde toegang werd verwerkt.

Hacken nog steeds kinderspel

Zo werden van sommige apps op Google Play met een open realtime database vrij eenvoudig e-mailadressen, wachtwoorden, privéchats, apparaatlocaties, geboortedatum en gebruikers-ID’s achterhaald. Service-swiping, fraude en identiteitsdiefstal wordt zo wel heel makkelijk gemaakt.

De onderzoekers kregen bijvoorbeeld toegang tot chatberichten tussen chauffeurs en passagiers van een taxi-app met meer dan 50.000 installaties. Men kon zo de volledige namen, telefoonnummers en locaties van gebruikers opvragen, allemaal door één verzoek te sturen naar de database.

Push-notificatiebeheer is een van de meest gebruikte services in de mobiele industrie. De meeste push-notificatieservices hebben een sleutel nodig om de identiteit van de indiener van het verzoek te identificeren. Nog te vaak worden die sleutels gewoon in het toepassingsbestand zelf ingesloten. Zo konden de onderzoekers na een snelle analyse van het applicatiebestand die sleutels herstellen om toegang te krijgen tot opgeslagen opnames van de populaire app Screen Recorder, die meer dan 10 miljoen keer is gedownload.