Popüler Mobil Rol Yapma Oyunu (RPG) Guidus'tan Kullanıcı Veri Sızıntısı
Cybernews tarafından yapılan araştırma, Guidus uygulamasının istemci tarafına sabit kodlanmış hassas verilere sahip olduğunu ve bu da onu veri sızıntılarına karşı savunmasız hale getirdiğini keşfetti.
Guidus, Google App Store'da 100.000'den fazla indirilen popüler bir mobil piksel RPG oyunudur. Oyunun anlatımı, oyuncuyu kraliyet sarayını geri almak ve diyarın gerçek varisini kurtarmak için zindanlarda tek başına savaşmaya davet ediyor. Uygulama, 16.000'den fazla incelemeye dayalı olarak 4,2 yıldız derecesine (5 üzerinden) sahiptir.
Uygulama geliştiricileri, veri sızıntısından haberdar edildi ancak veritabanına genel erişimi kapatamadı. Bununla birlikte, uygulamanın firebase örneği o kadar çok veriye sahipti ki Google'ın veri aktarım politikaları nedeniyle tehdit aktörleri için hepsini tek bir çalıştırmada elde etmek imkansız hale geldi ve aslında örneği üzerinde işlem yapılamayacak kadar büyük bir yüke sahipmiş gibi gösteriyordu.
Oyundan Veri Sızıntısının Nedeni ve Önemi
Araştırmacılar, Guidus'un Google'ın bulutta barındırılan veritabanı hizmetleri sağlayan mobil uygulama geliştirme platformu Firebase'e korumasız erişim yoluyla veri sızdırdığını keşfettiler.
Uygulama, oyuncular tarafından 'oyun içi' köriler ve ilerlemeyi izlemek için dijital belirteçler olarak kullanılan anonimleştirilmiş jetonlar da dahil olmak üzere, kullanıcıların oyun ilerlemesi hakkında bilgi verdi. Sızan veriler yedeklenmemiş olsaydı ve kötü niyetli bir kişi onu silmeyi seçseydi, kullanıcının oyundaki ilerlemesi, kurtarma olasılığı olmaksızın kalıcı olarak kaybolabilirdi.
Açık Firebase örneğinin yanı sıra, uygulamanın geliştiricileri istemci veya kullanıcı tarafına sabit kodlanmış anahtarlar bırakmıştı; bu anahtarlar, tehdit aktörlerine daha sonra kurbanları hedeflemek için kullanabilecekleri hassas verilere erişim sağlayabilecekti.
Uygulamanın istemci tarafında sabit kodlanmış olarak bulunan anahtarlar şu şekildeydi: firebase_database_url, gcm_defaultSenderId, default_web_client_id, google_api_key, google_app_id, google_crash_reporting_api_key, google_storage_bucket.
Veri Sızdıran Android Uygulamaları
Guidus, Google Play mağazasında veri sızıntılarına açık binlerce uygulamadan biridir.
Bu yılın başlarında, Cybernews 33.000'den fazla Android uygulamasını analiz etti ve açıkta bırakılan en hassas kodlanmış sır türlerinin projeleri yetkilendirmek için kullanılan uygulama programlama arabirimi (API) anahtarları, açık Firebase veri kümelerine bağlantılar ve Google Depolama klasörleri olduğunu tespit etti.
Sonuçlar, 14.000'den fazla uygulamanın ön uçlarında Firebase URL'leri olduğunu gösterdi. Bunlardan 600'ü Firebase örneklerini açmak için kullanılan bağlantılardı. Bu, kötü niyetli bir aktörün bir uygulamanın genel bilgilerini inceleyerek açık veritabanına erişim elde edebileceği ve potansiyel olarak kullanıcı verilerine erişebileceği anlamına gelir.
En çok kodlanmış sırları içeren beş uygulama kategorisi sağlık ve fitness, eğitim, araçlar, yaşam tarzı ve iş idi.
