CPR 研究人員發(fā)現(xiàn)，下載量超過(guò) 1,000 萬(wàn)的熱門(mén)星座、星象和手相應(yīng)用 Astro Guru 也出現(xiàn)了這種配置錯(cuò)誤。用戶輸入個(gè)人信息（例如姓名、出生日期、性別、位置、電子郵件和付款明細(xì)）后，Astro Guru 將為他們生成一份個(gè)人星座和星象預(yù)測(cè)報(bào)告。這種星象預(yù)測(cè)竟然暴露了敏感數(shù)據(jù)，簡(jiǎn)直令人咋舌！

拋卻個(gè)人信息不說(shuō)，泄露實(shí)時(shí)數(shù)據(jù)更令人無(wú)語(yǔ)，這可是實(shí)時(shí)數(shù)據(jù)庫(kù)原本存在的意義?。≡谙螺d量超過(guò) 5 萬(wàn)的出租車(chē)應(yīng)用 T’Leva 上，CPR 研究人員成功訪問(wèn)了司機(jī)與乘客之間的聊天消息，并檢索到了用戶的姓名、電話號(hào)碼和位置（目的地和上車(chē)地點(diǎn)），所有信息只需通過(guò)向數(shù)據(jù)庫(kù)發(fā)送一個(gè)請(qǐng)求即可獲得。

推送通知

推送通知管理器是移動(dòng)應(yīng)用行業(yè)使用最廣泛的服務(wù)之一。推送通知通常用于標(biāo)記新的可用內(nèi)容、顯示聊天消息、電子郵件等。大多數(shù)推送通知服務(wù)都需要一個(gè)密鑰（有時(shí)不止一個(gè)）來(lái)識(shí)別請(qǐng)求發(fā)送者的身份。如果這些密鑰只是簡(jiǎn)單地嵌入到應(yīng)用文件中，黑客很容易就會(huì)搶走控制，并冒充開(kāi)發(fā)人員向所有用戶發(fā)送可能包含惡意鏈接或內(nèi)容的通知。

試想一下，如果一個(gè)新聞媒體應(yīng)用向用戶推送了虛假新聞通知，進(jìn)而將用戶重定向到網(wǎng)絡(luò)釣魚(yú)頁(yè)面，后果將不堪設(shè)想。由于該通知來(lái)自官方應(yīng)用，用戶自然會(huì)認(rèn)為這是官方發(fā)出的合法消息，而非黑客發(fā)起的惡意攻擊。

云存儲(chǔ)

在過(guò)去的幾年中，移動(dòng)應(yīng)用云存儲(chǔ)得到飛速發(fā)展，允許訪問(wèn)開(kāi)發(fā)人員或安裝應(yīng)用共享的文件。以下兩個(gè)示例是 CPR 研究人員在 Google Play 上發(fā)現(xiàn)的應(yīng)用：

1. “Screen Recorder”應(yīng)用用于記錄用戶的設(shè)備屏幕并將錄像存儲(chǔ)在云服務(wù)中，下載量超過(guò) 1,000萬(wàn)。盡管通過(guò)云訪問(wèn)屏幕錄像非常方便，但如果開(kāi)發(fā)人員將用戶個(gè)人密碼放到存儲(chǔ)錄像的同一云服務(wù)上，則可能會(huì)產(chǎn)生嚴(yán)重的影響。在對(duì)應(yīng)用文件進(jìn)行快速分析之后，CPR 研究人員恢復(fù)了所述密鑰，從而獲得了對(duì)每個(gè)存儲(chǔ)錄像的訪問(wèn)權(quán)。
2. 第二個(gè)應(yīng)用“iFax”不僅嵌入了云存儲(chǔ)密鑰，而且保存了所有傳真?zhèn)鬏斝畔?。只需要?duì)應(yīng)用加以分析，攻擊者就能夠訪問(wèn) 50 萬(wàn)應(yīng)用用戶發(fā)送的所有文檔。

在本文章發(fā)布之前，CPR 已聯(lián)系 Google 和所有應(yīng)用開(kāi)發(fā)人員，報(bào)告了我們的研究發(fā)現(xiàn)。其中一些應(yīng)用的配置已經(jīng)更改。

如何做好自我防護(hù)

黑客攻擊移動(dòng)設(shè)備的手段五花八門(mén)，比如使用惡意應(yīng)用、發(fā)起網(wǎng)絡(luò)層攻擊以及利用設(shè)備和移動(dòng)操作系統(tǒng)漏洞等。隨著移動(dòng)設(shè)備的重要性與日俱增，越來(lái)越多的網(wǎng)絡(luò)犯罪分子盯上了這塊肥肉。最終，針對(duì)這些設(shè)備的網(wǎng)絡(luò)威脅變得更加多樣化。一款有效的移動(dòng)威脅防御解決方案應(yīng)該既能檢測(cè)和響應(yīng)各種不同的攻擊，又能提供積極的用戶體驗(yàn)。

Check Point Harmony Mobile 是市場(chǎng)領(lǐng)先的移動(dòng)威脅防御 (MTD) 和移動(dòng)應(yīng)用信譽(yù)服務(wù) (MARS) 解決方案，能夠提供一系列廣泛的功能，確保移動(dòng)設(shè)備及其數(shù)據(jù)的安全。

songjy