Check Point Research：23款Android程式因云端配置错误，让1亿用户的资料曝险

资安业者Check Point Research本周指出，该公司研究人员发现有23款Android应用程序所使用的第三方云端服务配置错误，可能让全球超过1亿的Android用户个资曝险，包括有13款程式的即时云端数据库缺乏密码保护，还有些程式把通知与云端储存的金钥直接置放在程式码中。

即时数据库允许开发者把资料存放在云端，并让Android用户随时可与云端同步，不过，若开发者并未替即时数据库设定密码时，代表所有人都可存取该数据库，并取得程式用户的各种机密资讯。

例如超过1,000万次下载的星座程式Astro Guru，就因配置错误而外泄了使用者的姓名、生日、性别、位置、电子邮件与支付资讯。或者是超过5万次下载的叫车程式T’Leva，也因配置错误而外泄了乘客的姓名、电话号码与接送位置。

图片来源／Check Point Research

研究人员还发现有通知管理程式把金钥存放在程式码中，一旦骇客取得了该金钥，就能任意发送通知予使用者，包括诈骗讯息及网钓连结。

另有程式将云端储存金钥置放在程式码中，像是超过1,000万次下载量的Screen Recorder，它可用来纪录与保存使用者的屏幕画面，由于开发者也将使用者的私钥存放在同一云端储存服务上，使得研究人员得以取得使用者的私钥，并存取使用者的所有屏幕画面。拥有50万用户的传真程式iFax同样把云端储存金钥嵌入程式里，让骇客能够存取使用者的所有传真文件。

Check Point Research同时知会了Google与这23款程式的开发者，迄今已有部分程式修补了相关漏洞。