通訊軟體OyeTalk數據庫沒設密碼  用戶通話紀錄全曝光

編譯／鄭智懷

網路媒體《Cybernews》的研究團隊發現，在Google Play商店上擁有500萬下載量及4.1星評分（滿分為5 星）的知名通訊軟體OyeTalk將用戶的通話紀錄等攸關私人隱私的數位資料儲存在並未設置密碼保護機制的谷歌（Google）雲端開發平台Firebase之上。

研究團隊表示，OyeTalk把客戶資料儲存在不具有保護機制的Firebase之作法可能導致客戶權益受損。譬如該公司若沒有提前備份所有數據，如果攻擊者入侵系統後選擇刪除資料，客戶將面臨私人訊息全數消失且無法恢復的問題。

據悉，Firebase過去曾有多起資料外洩，或是工程師草率行事，引起安全問題的案例。就前者而言，該公司曾洩露超過500MB的數據，其中涵蓋客戶名稱、未加密的聊天紀錄，以及國際移動設備識別碼（IMEI）。而後者則是工程師把敏感資料寫死（hard-code）在客戶的軟體之中。

《Cybernews》的研究團隊進一步指出，OyeTalk並非Google Play商店中唯一容易受到資料外洩影響的流行軟體。在針對該商店上架的3.3萬多個Android 軟體的分析後，研究團隊發現具有敏感資料外洩問題的軟體之主要缺陷集中在應用程式介面（API）密鑰、與Firebase數據集的鏈接，以及Google Cloud Storage三大類型。

研究結果顯示，影響案例最多的莫過於與Firebase數據集的鏈接：超過1.4萬個軟體有類似問題。其中有600個軟體與前述有關工程師便宜行事的案例有關。這意味著不法分子可以透過檢測軟體的的公開資訊，並採取逆向工程的手法獲得登入數據庫的權限，任意取走客戶資料。

資料來源：Cybernews

瀏覽 636 次