Nispeten popüler bir Android sesli sohbet uygulamasının, hassas kullanıcı verilerini sızdırdığı ve nereye bakacağını bilen herkesin ona erişebileceği bulundu.
OyeTalk uygulaması, Google’ın bulutta barındırılan veritabanları da sunan Firebase mobil uygulama geliştirme platformunu kullanıyordu. Cybernews araştırmacılarına göre, OyeTalk’ın Firebase örneği parola korumalı değildi, yani içeriği herkes tarafından görülebiliyordu.
Araştırmacıların daha fazla açıkladığı içerikler, insanların kullanıcı adlarını, şifrelenmemiş sohbetleri ve IMEI numaralarını içeriyordu. Bu son kısım, IMEI’nin tehdit aktörleri (ve kolluk kuvvetleri tarafından da) tarafından kimlik tespiti için kullanılabilmesi nedeniyle biraz daha endişe vericidir. (yeni sekmede açılır) cihaz ve yasal sahibi.
Geri dönüşü olmayan hasar
Araştırmacılar, “Mesaj o sırada belirli bir cihaz ve sahibiyle kalıcı olarak ilişkilendirildiğinden, gönderilen her mesaja IMEI numarası dökmek büyük bir gizlilik ihlalidir” dedi. “Tehdit aktörleri fidye empoze etmek için bundan yararlanabilir.”
Veritabanı kabaca 500 MB boyutundaydı, yani potansiyel saldırganlar veritabanını kolayca indirebilir veya silebilirdi – ikinci senaryo, kullanıcının özel mesajlarının kalıcı olarak kaybolması olasılığının olduğu anlamına gelir.
Uygulama, hassas kullanıcı verilerinin yanı sıra API anahtarları ve Google depolama grupları gibi sırları da sızdırıyordu çünkü bunların uygulamanın istemci tarafında sabit kodlandığı iddia ediliyor. Cybernews’teki araştırmacılar için bu, geliştiricilerin “özensiz” bir çalışmasıdır, çünkü hassas verileri bir Android uygulamasının istemci tarafına bu şekilde kodlamak “güvensizdir, çünkü çoğu durumda tersine mühendislik yoluyla kolayca erişilebilir.”
Araştırmacılar, “Geçmişte, bu baştan savma güvenlik uygulaması, diğer uygulamalardaki tehdit aktörleri tarafından başarılı bir şekilde istismar edildi ve bu da veri kaybına veya açık Firebase’lerde veya diğer depolama sistemlerinde depolanan kullanıcı verilerinin tamamen ele geçirilmesine neden oldu.”
Cybernews, açık veritabanından haberdar edildikten sonra bile geliştiricilerin hiçbir şey yapmadığını, ancak neyse ki Google’ın güvenlik önlemlerinin örneği kapatmayı başardığını söyledi.
Aracılığıyla: Siber haberler (yeni sekmede açılır)
