导读 当您在移动设备上下载应用程序时,请务必小心。即使该应用程序并非主动恶意,您的数据仍有可能面临风险。GooglePlay商店中非常流行的条形码...
当您在移动设备上下载应用程序时,请务必小心。即使该应用程序并非主动恶意,您的数据仍有可能面临风险。GooglePlay商店中非常流行的条形码扫描仪应用程序BarcodetoSheet似乎就是这种情况。据Cybernews报道,扫描仪应用程序的开发人员将其Firebase数据库开放给任何人访问,该数据库存储应用程序从用户那里收集的数据。
Android条码扫描仪泄露密码
与我们偶尔报道的一些假冒或恶意Android应用程序不同,BarcodetoSheet是一款合法的生产力应用程序。GooglePlay显示该应用的下载量已超过100,000次,3,000多条评论的平均评分为4.6/5。
相关数据库包含超过368MB的数据,其中一些数据以明文形式存储。这些数据包括有关产品、报告、电子邮件和用户ID的信息。还有以MD5哈希格式存储的用户密码。正如Cybernews指出的那样,MD5并不是一种特别安全的数据存储方式,因为它存在多个漏洞。
此外,该报告声称敏感信息也可能通过访问密钥和ID存储在应用程序的客户端上。如果他们渗透到服务器,坏人就能够看到网络客户端ID、Google应用程序编程接口(API)密钥、Google应用程序ID、崩溃报告密钥以及只有开发人员应该看到的其他详细信息。
“泄露的数据是敏感的,”网络新闻团队在报告中表示。“它不仅包括存储在应用程序客户端的应用程序机密,还包括企业和用户信息,包括用户的密码。”
Cybernews在发布报告之前联系了BarcodetoSheet的开发人员。开发商表示正在研究解决该问题。