知名手遊接連出包 原始碼與客戶數據都外流
編譯/高晟鈞
隨著網路時代的成熟,人類生活重心已經由現實慢慢地轉移至網路,這也成就了多種手機遊戲、軟件的爆火;琳瑯滿目的APP也成了用戶平日消遣的工具,甚至是對於生活提供幫助的小幫手。
然而,不論何種事物,總是一體兩面,在為生活帶來便利的同時,個資安全也成了網路世界中的一大隱憂。近日,多款熱門的手機遊戲與APP便爆出了個資與用戶資訊洩漏的事件。
Tap Busters是一款於安卓系統上相當熱門的角色扮演遊戲,下載量超過100萬,基於超過45,000則評論獲得4.5顆星的好評。然而,這款爆火的手機遊戲被發現通過不受保護的Firebase來洩漏用戶數據。Firebase是Google的應用程式開發平台,提供雲端的數據庫服務,並且任何人都可以在此期間訪問數據庫。
該遊戲的製造商Tilting Point還擁有其他款擁有龐大遊戲族群的成功遊戲,其中更有些下載量超過了500萬次。這些被洩漏的未受保護數據包含了用戶ID、用戶名、和私人對話信息等等;儘管開發人員已經獲悉數據洩漏的消息,但未能關閉對數據庫的公共訪問權限。
另一款手機遊戲Escalator的源代碼(一種人類可讀的計算機語言,通常為文字檔案)流傳於黑客論壇中,除了可能對遊戲的知識產權造成傷害,也很可能利用應用程式的漏洞來竊取用戶的個人資訊。另外黑客也能取得支付程序的密鑰,在未經開發者許可下進行遊戲內的購買,造成開發公司財務上的損失。
這兩款遊戲只是Google商店中,數以千計被洩漏的應用程序中的兩種。今年早些時候,Cybernews分析了超多33,000個Android應用程序,發現洩漏最嚴重的幾款編碼類型為:API密鑰和打開Firebase數據的連結(Firebase URL)。
應用程式就好比一台販賣機,當你想投瓶奶茶來喝的時候,會先點擊販賣機上的奶茶按鈕,而API便是這按鈕,有了API密鑰便可以在不付錢的狀況下取得你要的資料。Firebase URL則是連接到數據庫的一個網址,而擁有這它將使惡意行為者輕易取得數據庫的訪問權限。
據統計,超過14,000的應用程式前端有Firebase URL,其中有600可以直接通往數據庫。包含最多這類URL的應用程式分別為健身、教育和生活工具。
瀏覽 512 次