משחק לנייד חושף מאות אלפי משתמשים לדליפת נתונים רצינית

This post is also available in: English (אנגלית)

משחק לנייד ב-App Store של אפל הותיר מאות אלפי משתמשים חשופים לסיכוני פרטיות חמורים, לאחר שחוקרים גילו כי האפליקציה הדליפה מידע רגיש באמצעות מסד נתונים בענן שהוגדר לא כראוי.

המשחק, Cats Tower: The Cat Game!, שפותח על ידי Rhino Games אך מקושר למפתח הארמני Next Epic LLC,  נמצא כי הוא חושף נתוני משתמשים באמצעות בקאנד Firebase עם חולשות. חוקרים ב-Cybernews גילו כי מסד הנתונים היה נגיש לציבור, ונחשפו שמות משתמש, כתובות IP ואפילו אסימוני גישה של פייסבוק ליותר מ-450,000 שחקנים.

כתובות ה-IP החשופות יכולות לספק לתוקפים אומדן מיקום של המשתמשים בשילוב עם נתונים אחרים. בנוסף, הדליפה של אסימוני הגישה של פייסבוק יכולים לאפשר לתוקפים להשתלט על חשבונות משתמשים, לפרסם תוכן הונאה או לשלוח הודעות דיוג תחת זהות המשתמש.

הקונפיגורציה הלא נכונה של פיירבייס חשפה גם מגוון של נתוני פיתוח הידועים כ-"hardcoded secrets". אלה כללו מפתחות API, מזהי לקוח וכתובות URL של מסדי נתונים – רכיבים קריטיים שאסור שיהיו גלויים בקוד ציבורי. סוגים אלה של דליפות יכולים לאפשר לגורמי איום לבצע הנדוס לאחור של היישום, להתחזות לבקשות לגיטימיות, ואולי להפוך את התשתית לנשק עבור ספאם או איסוף נתונים רחב יותר.

בנוסף לנתוני המשתמש שהודלפו, הקוד של האפליקציה כלל תשעה סוגים של אישורים רגישים – מה שמציב אותה בין האפליקציות המאובטחות באופן הכי מרושל שנמצא בניתוח רחב יותר של תוכנת iOS.
Cybernews, אשר סקרו יותר מ-156,000 אפליקציות iOS, דיווחו כי יותר מ-70% הדליפו לפחות סוד אחד, עם ממוצע של יותר מ-5 לכל אפליקציה. בעוד שcat tower הוא דוגמה בולטת במיוחד, היא איננה לבד. אותה חקירה חשפה דליפות מיקום מאפליקציות מעקב משפחתי וחשיפות תמונה פרטיות מפלטפורמות היכרויות.

המקרה מדגיש בעיה גדולה יותר באבטחת אפליקציות לנייד, בה אפילו יישומי iOS פופולריים לעתים קרובות מכילים נקודות תורפה קריטיות שניתן לנצל בקנה מידה גדול, מה שיוצר צורך דחוף בתקני פיתוח יישומים מחמירים יותר ובדיקות אבטחה קבועות.