游戏应用“Dune！”被指泄露数百万安卓用户敏感数据

“用指尖改变世界”

在上周，安全软件公司Pradeo的行为分析引擎对Google Play商店中的一款名为“Dune!(沙丘)”的应用程序提出了警告。这是一款游戏应用程序，在过去几周里已经被下载了超过500万次，并已经进入了Google Play商店“热门应用”列表。

Pradeo在经过详细的分析后表示，该应用程序存在众多安全问题，这主要包括：

对用户进行了地理定位及位置数据转发;

会泄露手机设备数据;

数据被发送到至少32台远程服务器;

过多的外部库;

拥有11个OWASP漏洞。

Pradeo解释说，沙丘作为一款游戏应用，地理定位并不是必须的权限。一旦数据被收集，这些位置数据将被发送到至少32台远程服务器。

泄露的手机设备数据同样被发送到了远程服务器，这些数据包括操作系统版本、服务提供商名称、SIM提供商、国家代码(SIM提供商的移动国家代码和网络代码)、设备所连接的电话网络种类(3G、4G、UMTS或者其他)、设备制造商、设备商业名称、电池电量、设备型号。

Pradeo表示，这是十分危险的。就比如操作系统版本，它清楚地表明了设备的漏洞级别，黑客经常用它来评估目标设备是否容易攻击。

此外，沙丘嵌入了过多的库。根据Pradeo的说法，库通常被设计用于特定的服务(比如支付、分析等)并嵌入到应用程序中。但由于这些库来自外部第三方公司，所以开发人员没有交出他们的源代码。很多时候，这些库默默地执行不必要的操作(例如，连接到未知服务器)和泄露数据。

Pradeo表示，沙丘嵌入了20个库，这比其他很多应用程序嵌入的库要多得多。其中，超过一半的目的是跟踪用户，并获得尽可能多的关于他们的敏感信息。

最后，也是最值得关注的。 Pradeo的行为分析引擎在沙丘中检测到了11个OWASP漏洞，这可能会将用户的敏感数据置于危险之中，使用户手机设备容易受到数据泄露、拒绝服务和数据损坏的威胁。以下是11个OWASP漏洞的详细列表：

BROADCAST-ACTIVITY-允许其他应用程序绕过某些安全访问，直接访问潜在的敏感数据;

BROADCAST-PROVIDER-允许任何应用程序有权直接访问组件中的敏感数据;

BROADCAST-SERVICE-允许其他应用程序有权启动或绑定沙丘，可能会导致敏感数据泄漏或导致拒绝服务;

BROADCST-RECEIVER-允许其他应用程序向沙丘发送恶意意图，在未经授权的情况下运行，可能会导致敏感数据泄露或拒绝服务;

URLCANONICALISATION-使其他应用程序更容易访问用户设备数据(文件)，甚至可能导致目录遍历;

LOG-显示输出日志，其他应用程序可以通过执行一个命令来恢复日志中包含的信息;

IMPLICIT-INTENT-恶意的活动或服务可以拦截隐式意图并启动，而不是预定的活动或服务，这可能导致数据遭截取或拒绝服务;

X.509TRUSTMANAGER-安全实现的接口x509trustmanager。具体来说，当建立对远程服务器的HTTPS连接时，实现忽略了所有SSL证书验证错误，从而使用户设备容易受到中间人攻击。攻击者可以读取传输数据(例如，登录凭着)，甚至更改HTTPS连接上传输的数据。

WIDGET-恶意应用程序可能通过小部件访问敏感数据，从而使应用程序泄露数据。

POTENTIALLY-BYPASS-SSL-CONNECTION-当建立对远程服务器的HTTPS连接时，实现忽略了所有SSL证书验证错误，从而使用户设备容易受到中间人攻击。攻击者可以读取传输数据(例如，登录凭着)，甚至更改HTTPS连接上传输的数据;

RSA_NO_PAD-使用RSA密码没有OAEP填充。填充方案的目的是防止对RSA进行多次攻击，只有在不加填充的情况下进行加密时，这种攻击才起作用。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。