Μια δημοφιλής εφαρμογή σάρωσης για Android είχε μια σοβαρή ευπάθεια που επέτρεπε σε οποιονδήποτε να έχει εύκολη πρόσβαση σε μια βάση δεδομένων γεμάτη ευαίσθητα προσωπικά στοιχεία, αρκεί να γνωρίζει πού να ψάξει.
Αυτό σύμφωνα με την αναφορά του Cybernews σχετικά με το ελάττωμα στην εφαρμογή Barcode to Sheet, η οποία επιτρέπει στους χρήστες ηλεκτρονικού εμπορίου να σαρώνουν έναν γραμμωτό κώδικα σε ένα αντικείμενο και να δημιουργούν δεδομένα σε μορφή αναγνώσιμη από διαφορετικές εφαρμογές υπολογιστικών φύλλων. Έχει περισσότερες από 100.000 λήψεις στο Google Play Store και μέση βαθμολογία 4,5/5, καθιστώντας το σχετικά δημοφιλές και αξιόπιστο.
Διαφορετικές περιπτώσεις χρήσης, όλες επικίνδυνες
Τα δεδομένα που δημιουργήθηκαν με τον σαρωτή πήγαν σε μια βάση δεδομένων Firebase, η οποία, όπως είπαν οι ερευνητές, ήταν απροστάτευτη. Περιείχε περισσότερα από 360 MB δεδομένων, συμπεριλαμβανομένων πληροφοριών σχετικά με προϊόντα, αναφορές, μηνύματα ηλεκτρονικού ταχυδρομείου, αναγνωριστικά χρήστη και κωδικούς πρόσβασης χρηστών. Ορισμένες από τις πληροφορίες αποθηκεύτηκαν σε απλό κείμενο, ενώ οι κωδικοί πρόσβασης αποθηκεύτηκαν σε μορφή κατακερματισμού MD5. Το MD5 είναι σχεδόν καταργημένο, καθώς είναι ένας χαλασμένος αλγόριθμος κατακερματισμού και μπορεί να ξεκλειδωθεί με βασικές γνώσεις προγραμματισμού.
Αλλά δεν είναι μόνο αυτό, καθώς η βάση δεδομένων περιείχε επίσης ευαίσθητα δεδομένα από την πλευρά του πελάτη της εφαρμογής, με κλειδιά πρόσβασης και αναγνωριστικά μαζί με αναγνωριστικά πελάτη ιστού, κλειδιά Google API, αναγνωριστικό εφαρμογής Google, κλειδιά αναφοράς σφαλμάτων και πολλά άλλα.
«Τα δεδομένα που διέρρευσαν είναι ευαίσθητα. Όχι μόνο περιλάμβανε τα μυστικά της εφαρμογής, αποθηκευμένα στην πλευρά του πελάτη της εφαρμογής, αλλά και πληροφορίες για επιχειρήσεις και χρήστες, συμπεριλαμβανομένων των κωδικών πρόσβασης των χρηστών», ανέφερε η ομάδα του Cybernews.
Αυτό σημαίνει ότι τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν σε πολλές διαφορετικές επιθέσεις, που κυμαίνονται από απλές επιθέσεις phishing έως κλοπή ταυτότητας, ανάπτυξη ransomware και πολλά άλλα. Ακόμη και ο ανταγωνισμός μπορεί να χρησιμοποιήσει τα δεδομένα για να κατανοήσει το επιχειρηματικό του τοπίο, να εντοπίσει τις δυνάμεις και τις αδυναμίες του και τελικά να αποκτήσει ένα αθέμιτο πλεονέκτημα.
«Οι ανταγωνιστές μπορούν να χρησιμοποιήσουν τα δεδομένα για κατασκοπεία πνευματικής ιδιοκτησίας. Ένας τρόπος για να γίνει αυτό θα ήταν η ανάλυση των προτιμήσεων των χρηστών και ο έλεγχος του είδους των προϊόντων που έχει σε απόθεμα η εταιρεία που χρησιμοποιούσε την εφαρμογή», ανέφερε η ομάδα του Cybernews.
Οι προγραμματιστές της εφαρμογής λέγεται ότι εργάζονται για μια λύση.