drupe

Popularny komunikator Drupe źle zabezpieczał dane użytkowników

Aplikacja telefoniczna Drupe została pobrana w Google Play 10 milionów razy. Twórcy dialera popełnili jednak poważny błąd. Nie zabezpieczyli właściwie swojego magazynu danych w Amazon Web Services. W konsekwencji prywatne wiadomości i zdjęcia użytkowników były łatwo dostępne w sieci. Wydawca aplikacji wprowadził już poprawkę.

Aplikacja Drupe, jak na dialer, jest dość rozbudowana, pozwala m.in. automatycznie nagrywać połączenia przychodzące i wychodzące, blokuje numery uznawane za SPAM, łączy kontakty w grupy, a także współpracuje z WhatsAppem, Messengerem, Google Duo, Skypem i innymi komunikatorami. W sklepie Google Play ma wysoką ocenę 4,6/5. Niestety okazało się, że twórcy zaniedbali istotną kwestię. Część danych, gromadzonych przez Drupe’a, takich jak wiadomości głosowe, zrzuty ekranu czy zdjęcia, wysyłano na niechroniony serwer Amazon Web Services. Tam były dostępne dla każdego, bez potrzeby wpisywania hasła. Ekspert do spraw bezpieczeństwa z firmy Zimperium, Simone Margaritelli, szacuje, że sprawa dotyczy prawdopodobnie nawet kilku miliardów plików.

Z Drupe’a korzysta 10 milionów użytkowników (graf. Google Play)

Twórcy aplikacji Drupe zostali powiadomieni o problemie i skonfigurowali już właściwie chmurę AWS. Jednocześnie zaznaczyli, że skala błędu była mniejsza, ich zdaniem, tylko niewielka część użytkowników była narażona na wyciek prywatnych danych.

— Odsuwając na bok kwestię, ile faktycznie było wspomnianych zapisów, twórcy aplikacji wykazali się dużą nieodpowiedzialnością, nie zabezpieczając odpowiednio danych swoich użytkowników – komentuje Mariusz Osiński, inżynier techniczny z firmy Marken. — Pamiętajmy, że kiedy dajemy aplikacji dostęp do naszych danych, równocześnie są one w zasięgu właściciela tej aplikacji. Przypadek dialera Drupe pokazuje, że niektóre firmy nie wiedzą, jak odpowiednio takie informacje chronić – podkreśla ekspert przedsiębiorstwa współpracującego z Bitdefenderem.

Komunikator zniknął na pewien czas ze sklepu Google Play, ale teraz można go ponownie pobrać. Jest także dostępny w wersji na system iOS. Nie wiadomo, czy problem z niezabezpieczonym magazynem danych dotyczył wariantu usługi dla platformy Apple. To kolejny przypadek związany z niepoprawnie skonfigurowanymi prawami dostępu w chmurze Amazonu. W marcu podobne problemy dotknęły klientów sieci Walmart. | CHIP

Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.