Независимый ИБ-эксперт Симон Маргарителли (Simone Margaritelli) обнаружил утечку данных в приложении Drupe. Неверная настройка облачного контейнера Amazon S3 открыла доступ к пользовательским картинкам, аудиосообщениям и прочей конфиденциальной информации 10 млн пользователей.

Приложение интегрирует в себе функции телефонной книжки, Whatsapp, Skype и прочих коммуникационных сервисов. Эксперты рынка отмечали продвинутые функции и удобство Drupe для пользователей, а Google Play присудил ему знак Editor’s Choice.

Маргарителли не уточняет, как ему удалось найти уязвимый облачный контейнер. О своих открытиях он сообщил в Twitter-трансляции, при этом не указывая, о каком приложении идет речь. Когда позже другой пользователь разоблачил Drupe, эксперт осудил этот поступок, отмечая, что особенности API приложения не позволяют быстро устранить брешь.

Журналисты издания Motherboard, которым эксперт указал на уязвимые контейнеры, подтвердили, что смогли скачать картинки и голосовые сообщения нескольких человек. Маргарителли оценил объем утечки в миллиарды файлов и сказал, что любой, кто знает, как добраться до нужного хранилища, может определить по ID личность конкретных пользователей.

Представители Drupe сообщили, что в открытый доступ попали данные менее чем 3% аудитории. Именно такая доля клиентов обменивалась голосовыми сообщениями или делилась картинками при совершении звонков. “Как мы понимаем по итогам проверки наших систем, [уязвимость] не затронула другие функции Drupe”, — говорится в сообщении компании.

В заявлении уточняется, что проблему решили в течение часа после того, как о ней стало известно. Файлы, оказавшиеся в открытом доступе, удалили. На момент публикации остается неизвестным, как долго информация оставалась публичной.

Вскоре после обнаружения утечки администраторы Google Play убрали приложение из магазина, но оно уже вновь доступно для скачивания.

В своем исследовании Маргарителли также привлек внимание к внушительному списку разрешений, которые Drupe запрашивает у пользователей. Оно может не только читать содержимое смартфона, управлять камерой и Bluetooth-подключениями, но и отслеживать перемещение владельца устройства и определять способ передвижения.

“Вне зависимости от того, является приложение зловредным или нет, у него нет причин собирать все эти данные и хранить их на своих серверах”, — отметил Маргарителли в беседе с журналистами.

В заявлении Drupe, на которое ссылается Motherboard, компания уточняет, что все разрешения требуются для реализации заявленных функций, а пользовательские данные ни при каких обстоятельствах не передаются третьим лицам в коммерческих целях.

Виртуальные контейнеры Amazon уже не в первый раз оказываются связаны с масштабными утечками.

Так, в 2016 году из такого хранилища взломщики похитили информацию о 50 млн пассажиров и 7 млн водителей Uber. В 2017 году из облака утекли данные американских избирателей, клиентов телекоммуникационного холдинга Verizon и кабельной сети Time Warner.

Эксперты ИБ отмечают, что основной причиной являются ошибки в настройке хранилищ — Amazon уже разработала ряд функций, которые помогают в организации доступа к контейнеру и защищают файлы в облаке с применением шифрования.

Категории: Другие темы