首页 > 生活 > > 正文
2020-01-02 12:11:09

尝试与应用程序制造商联系失败后 数据库仍可在线使用

导读 Dalil是一个Android应用程序,它提供类似于Truecaller的呼叫者ID服务,但为沙特阿拉伯和其他阿拉伯用户提供服务,由于MongoDB数据库可以在

Dalil是一个Android应用程序,它提供类似于Truecaller的呼叫者ID服务,但为沙特阿拉伯和其他阿拉伯用户提供服务,由于MongoDB数据库可以在没有密码的情况下在线访问,因此它一直在泄漏用户数据一周。

由安全研究人员Ran Locar和Noam Rotem发现,该数据库包含看似该应用程序的全部数据,从用户个人详细信息到活动日志。

ZDNet审查的样本中包含的详细信息显示,该数据库包含以下信息:

用户手机号码

应用注册数据(全名,电子邮件,Viber帐户,性别等)

设备详细信息(品牌和型号,序列号,IMEI,MAC地址,SIM卡号,操作系统版本等)

电信运营商详细信息

GPS坐标(不适用于所有用户)

个人通话详细信息和号码搜索

数据库中包含的大多数数据属于沙特用户-基于与每个条目关联的国家/地区代码。还包括埃及,阿联酋,欧洲,甚至几个以色列/巴勒斯坦的数据,但程度较小。

用户数据的广度和敏感性质可以使威胁参与者在应用程序的用户上创建准确的配置文件。允许该应用访问位置数据的用户也有被跟踪的危险。

GPS坐标(如果有的话)将使威胁参与者实时跟踪用户的位置。威胁行动者所需要做的就是向用户的电话号码发出呼叫,在公开的数据库中查看新的日志条目,并在该特定时间提取用户的GPS位置。

Dalil MongoDB服务器使用现成的工具也很容易在网上找到。ZDNet能够根据我们从Locar收到的简单提示独立定位数据库。

在撰写本文时,数据库仍公开约585.7GB的信息。Locar表示每天都会添加新记录,这意味着这是该应用程序的生产服务器,而不是废弃的测试系统或冗余备份。

根据Dalil的Play商店页面显示,该应用已被超过500万用户下载。但是,数据库不保存绝对所有以前的用户的信息。

洛迦说,曾经有威胁者还访问了数据库,对部分数据进行了加密,并留下了赎金记录,但达利勒的IT团队甚至没有注意到该漏洞,并继续将新的用户数据和应用程序日志保存在顶部明显受损的数据库。

研究人员告诉ZDNet,仅在上个月就注册了大约208,000个新的唯一电话号码和4,400万个应用事件-注册,登录以及呼入和呼出电话,并且数据仍在堆积中。

Locar告诉我们,他在2月26日首次注意到公开的数据库时联系了Dalil的团队。在撰写本文时,尽管多次尝试与供应商联系,数据库仍保持开放状态。Dalil的团队也没有返回ZDNet的评论请求。