RPG головного мозга: игра на Android с 1 млн. загрузок сливает личные данные игроков

Исследователи кибербезопасности Cybernews обнаружили, что разработчики RPG игры на Android Tap Busters: Bounty Hunters оставили свою базу данных общедоступной, раскрыв личные разговоры пользователей.

Кроме того, разработчики приложений жестко закодировали конфиденциальные данные в клиентской части приложения, что сделало его уязвимым для дальнейших утечек данных.

Tap Busters: Bounty Hunters — это ролевая игра в режиме ожидания, которую скачали более 1 миллиона человек в магазине Google Play, а рейтинг 4,5 звезды основан на более чем 45 000 обзоров. Игра в режиме ожидания — это игра, в которой игрок не взаимодействует с игрой во время ее работы.

Исследователи обнаружили, что в Tap Busters: Bounty Hunters произошла утечка данных через незащищенный доступ к Firebase, платформе разработки мобильных приложений Google, которая предоставляет услуги облачных баз данных. Тем временем любой мог получить доступ к базе данных.

Незащищенный набор данных объемом 349 МБ содержит:

• ID пользователей;
• имена пользователей;
• временные метки;
• личные сообщения.

Если бы злоумышленник просто удалил все данные, возможно, личные сообщения пользователей были бы безвозвратно утеряны без возможности восстановления.

Наряду с открытым экземпляром Firebase разработчики оставили некоторую конфиденциальную информацию – секреты, жестко закодированные на стороне клиента приложения. Были найдены следующие ключи:

• fir ebase_database_url;
• gcm_defaultSenderId;
• default_web_client_id;
• google_api_key;
• google_app_id;
• google_crash_reporting_api_key;
• google_storage_bucket.

Стоит отметить, что жесткое кодирование конфиденциальных данных на клиентской стороне приложения для Android небезопасно, поскольку в большинстве случаев к ним можно легко получить доступ с помощью реверс-инжиниринга.

База всё еще открыта

Разработчиком игры является компания Tilting Point, которой принадлежит несколько других успешных игр с большим сообществом игроков. Некоторые из этих игр скачали более 5 миллионов раз. Разработчик приложения был проинформирован об утечке данных, но не смог закрыть публичный доступ к базе данных.

Разработчики приложения не ответили на вопросы Cybernews о продолжительности публичного доступа к экземпляру или возможности того, что злоумышленники могут использовать жестко запрограммированные секреты, что приведет к утечке конфиденциальных данных.

Однако на данный момент в экземпляре Firebase было так много данных, что получение их всех за один запуск будет невозможным для хакера из-за политик передачи данных Google, в результате чего экземпляр имел слишком большую полезную нагрузку, чтобы на нее можно было воздействовать.

В декабре специалисты Cybernews обнаружили, что Android-приложение для веб-серфинга «Web Explorer - Fast Internet» раскрывает конфиденциальные данные приложения и историю просмотра пользователей. Раскрытие данных произошло из-за того, что разработчики оставили открытой базу данных пользователей на платформе Firebase.