首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

游戏应用“Dune!”被指泄露数百万安卓用户敏感数据

“用指尖改变世界”

在上周,安全软件公司Pradeo的行为分析引擎对Google Play商店中的一款名为“Dune!(沙丘)”的应用程序提出了警告。这是一款游戏应用程序,在过去几周里已经被下载了超过500万次,并已经进入了Google Play商店“热门应用”列表。

Pradeo在经过详细的分析后表示,该应用程序存在众多安全问题,这主要包括:

对用户进行了地理定位及位置数据转发;

会泄露手机设备数据;

数据被发送到至少32台远程服务器;

过多的外部库;

拥有11个OWASP漏洞。

Pradeo解释说,沙丘作为一款游戏应用,地理定位并不是必须的权限。一旦数据被收集,这些位置数据将被发送到至少32台远程服务器。

泄露的手机设备数据同样被发送到了远程服务器,这些数据包括操作系统版本、服务提供商名称、SIM提供商、国家代码(SIM提供商的移动国家代码和网络代码)、设备所连接的电话网络种类(3G、4G、UMTS或者其他)、设备制造商、设备商业名称、电池电量、设备型号。

Pradeo表示,这是十分危险的。就比如操作系统版本,它清楚地表明了设备的漏洞级别,黑客经常用它来评估目标设备是否容易攻击。

此外,沙丘嵌入了过多的库。根据Pradeo的说法,库通常被设计用于特定的服务(比如支付、分析等)并嵌入到应用程序中。但由于这些库来自外部第三方公司,所以开发人员没有交出他们的源代码。很多时候,这些库默默地执行不必要的操作(例如,连接到未知服务器)和泄露数据。

Pradeo表示,沙丘嵌入了20个库,这比其他很多应用程序嵌入的库要多得多。其中,超过一半的目的是跟踪用户,并获得尽可能多的关于他们的敏感信息。

最后,也是最值得关注的。 Pradeo的行为分析引擎在沙丘中检测到了11个OWASP漏洞,这可能会将用户的敏感数据置于危险之中,使用户手机设备容易受到数据泄露、拒绝服务和数据损坏的威胁。以下是11个OWASP漏洞的详细列表:

BROADCAST-ACTIVITY-允许其他应用程序绕过某些安全访问,直接访问潜在的敏感数据;

BROADCAST-PROVIDER-允许任何应用程序有权直接访问组件中的敏感数据;

BROADCAST-SERVICE-允许其他应用程序有权启动或绑定沙丘,可能会导致敏感数据泄漏或导致拒绝服务;

BROADCST-RECEIVER-允许其他应用程序向沙丘发送恶意意图,在未经授权的情况下运行,可能会导致敏感数据泄露或拒绝服务;

URLCANONICALISATION-使其他应用程序更容易访问用户设备数据(文件),甚至可能导致目录遍历;

LOG-显示输出日志,其他应用程序可以通过执行一个命令来恢复日志中包含的信息;

IMPLICIT-INTENT-恶意的活动或服务可以拦截隐式意图并启动,而不是预定的活动或服务,这可能导致数据遭截取或拒绝服务;

X.509TRUSTMANAGER-安全实现的接口x509trustmanager。具体来说,当建立对远程服务器的HTTPS连接时,实现忽略了所有SSL证书验证错误,从而使用户设备容易受到中间人攻击。攻击者可以读取传输数据(例如,登录凭着),甚至更改HTTPS连接上传输的数据。

WIDGET-恶意应用程序可能通过小部件访问敏感数据,从而使应用程序泄露数据。

POTENTIALLY-BYPASS-SSL-CONNECTION-当建立对远程服务器的HTTPS连接时,实现忽略了所有SSL证书验证错误,从而使用户设备容易受到中间人攻击。攻击者可以读取传输数据(例如,登录凭着),甚至更改HTTPS连接上传输的数据;

RSA_NO_PAD-使用RSA密码没有OAEP填充。填充方案的目的是防止对RSA进行多次攻击,只有在不加填充的情况下进行加密时,这种攻击才起作用。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171218B05ZQR00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券