HackerNews 编译,转载请注明出处:
网络安全研究人员发现,助眠类iOS应用《Sleep Journey: Insomnia Helper》因配置错误导致数万用户隐私泄露,涉及姓名、饮酒习惯等敏感数据。该应用由塞浦路斯注册公司Fitsia Holdings Limited运营,因开发人员错误配置Firebase数据库服务器,超过25,000条用户记录可被公开访问。由于Firebase作为临时数据库的特性,实际泄露规模可能远超当前可见数据量。
泄露信息包含多维敏感内容:
身份信息:用户真实姓名、电子邮箱、出生日期、性别
健康数据:睡眠监测记录、尼古丁与酒精摄入量、睡前活动模式、药物使用情况
行为轨迹:应用使用过程中生成的交互日志
研究团队指出,攻击者可利用泄露数据实施精准钓鱼攻击、凭证填充攻击或社会工程操纵。更严重的是,应用客户端代码中暴露了API密钥、Google应用ID、存储空间凭证等核心密钥,理论上允许攻击者绕过认证系统直接访问用户设备数据,甚至操控第三方服务实施资源滥用。
此次事件是iOS应用安全问题的又一典型案例。Cybernews团队近期扫描App Store 15.6万款应用发现,71%的应用存在至少一项密钥泄露问题,平均每款应用暴露5.2个敏感凭证。此前已有多款涉及小众社交通讯的应用被曝泄露用户私密照片。
安全专家建议采取分层修复措施:
- 对Firebase数据库启用基于角色的访问控制,限制未授权访问。将硬编码密钥迁移至服务器端,通过代理网关管理服务调用。在开发流程中集成静态代码分析工具,自动检测密钥暴露风险。
该漏洞于2025年1月7日被发现,研究团队于1月15日通报涉事企业,并于2月11日提交计算机应急响应组。截至目前,Fitsia Holdings Limited尚未就事件作出公开回应。
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
