In den letzten Jahren sind Voice-Chat-Apps für Bildung, Lernen, Geselligkeit, Spiele und arbeitsbezogene Zwecke unverzichtbar geworden. Mit zahlreichen Apps auf dem Markt, darunter beliebte wie z ZoomenSkype, Google TreffenMicrosoft-Teams, Zwietrachtund WhatsApp sind Voice-Chat-Funktionen weit verbreitet.
Aber eine der Voice-Chat-Apps auf Android hat die privaten Anrufe des Benutzers durchgesickert. Eine Recherche von Cybernews hat ergeben, dass die OyeTalk-App, die fünf Millionen Downloads im Google Play Store und eine Bewertung von 4,1 von 5 Sternen aus 21.000 Bewertungen verzeichnet, ihre Datenbank der Öffentlichkeit zugänglich gemacht hat.
Diese Sicherheitslücke legte die privaten Daten und Gespräche der Benutzer offen. Die OyeTalk-Plattform ermöglicht es Benutzern, in Diskussionsräumen zu verschiedenen Themen zu interagieren und Podcasts zu hosten. Die App wird als „eine der am schnellsten wachsenden Audio-Talent-Hosting-Anwendungen“ vermarktet und steht in über 100 Ländern zum Download bereit.
Es wurde festgestellt, dass die Voice-Chat-App OyeTalk Benutzerdaten und Konversationen durch ungeschützten Zugriff auf Google offenlegt Firebase. Zu den durchgesickerten Daten gehörten Benutzer-Chats, Benutzernamen und Mobiltelefone IMEI Zahlen, die Angreifer ausnutzen könnten, um Lösegeld zu verlangen.
Darüber hinaus wurden vertrauliche Daten auf der Clientseite der Anwendung hartcodiert, darunter ein Google-API-Schlüssel und Links zu Google-Speicher-Buckets, wodurch die Anwendung anfällig für Reverse Engineering wurde. Die App-Entwickler haben es versäumt, den öffentlichen Zugriff auf die Datenbank zu schließen, nachdem sie über die Datenverschüttung informiert worden waren. Die Sicherheitsmaßnahmen von Google haben die Instanz aufgrund des großen Datensatzes geschlossen.
Es wurde festgestellt, dass die OyeTalk-App in der Vergangenheit Datenlecks aufweist, wobei die Datenbank zuvor als anfällig für Lecks durch unbekannte Akteure gekennzeichnet wurde. Die Datenbank enthielt Fingerabdrücke, die zur Identifizierung offener Firebases verwendet wurden, was auf einen Mangel an ordnungsgemäßer Authentifizierung und Autorisierung für Daten hinweist. Die Schwachstelle könnte es böswilligen Akteuren ermöglichen, sensible Daten wie E-Mail-Logins auszunutzen.
In der Forschung wurden über 33.000 Android-Apps analysiert und festgestellt, dass über 14.000 Apps Firebase-URLs auf ihrem Frontend hatten, und davon waren mehr als 600 Links zu offenen Instanzen. Die fünf Kategorien von Apps, die die meisten hartcodierten Geheimnisse enthielten, waren Gesundheit und Fitness, Bildung, Tools, Lifestyle und Business.
Aber eine der Voice-Chat-Apps auf Android hat die privaten Anrufe des Benutzers durchgesickert. Eine Recherche von Cybernews hat ergeben, dass die OyeTalk-App, die fünf Millionen Downloads im Google Play Store und eine Bewertung von 4,1 von 5 Sternen aus 21.000 Bewertungen verzeichnet, ihre Datenbank der Öffentlichkeit zugänglich gemacht hat.
Diese Sicherheitslücke legte die privaten Daten und Gespräche der Benutzer offen. Die OyeTalk-Plattform ermöglicht es Benutzern, in Diskussionsräumen zu verschiedenen Themen zu interagieren und Podcasts zu hosten. Die App wird als „eine der am schnellsten wachsenden Audio-Talent-Hosting-Anwendungen“ vermarktet und steht in über 100 Ländern zum Download bereit.
Es wurde festgestellt, dass die Voice-Chat-App OyeTalk Benutzerdaten und Konversationen durch ungeschützten Zugriff auf Google offenlegt Firebase. Zu den durchgesickerten Daten gehörten Benutzer-Chats, Benutzernamen und Mobiltelefone IMEI Zahlen, die Angreifer ausnutzen könnten, um Lösegeld zu verlangen.
Darüber hinaus wurden vertrauliche Daten auf der Clientseite der Anwendung hartcodiert, darunter ein Google-API-Schlüssel und Links zu Google-Speicher-Buckets, wodurch die Anwendung anfällig für Reverse Engineering wurde. Die App-Entwickler haben es versäumt, den öffentlichen Zugriff auf die Datenbank zu schließen, nachdem sie über die Datenverschüttung informiert worden waren. Die Sicherheitsmaßnahmen von Google haben die Instanz aufgrund des großen Datensatzes geschlossen.
Es wurde festgestellt, dass die OyeTalk-App in der Vergangenheit Datenlecks aufweist, wobei die Datenbank zuvor als anfällig für Lecks durch unbekannte Akteure gekennzeichnet wurde. Die Datenbank enthielt Fingerabdrücke, die zur Identifizierung offener Firebases verwendet wurden, was auf einen Mangel an ordnungsgemäßer Authentifizierung und Autorisierung für Daten hinweist. Die Schwachstelle könnte es böswilligen Akteuren ermöglichen, sensible Daten wie E-Mail-Logins auszunutzen.
In der Forschung wurden über 33.000 Android-Apps analysiert und festgestellt, dass über 14.000 Apps Firebase-URLs auf ihrem Frontend hatten, und davon waren mehr als 600 Links zu offenen Instanzen. Die fünf Kategorien von Apps, die die meisten hartcodierten Geheimnisse enthielten, waren Gesundheit und Fitness, Bildung, Tools, Lifestyle und Business.