Google Play 商店上的 app 可能會洩漏隱私

Android 使用者注意：Google Play 商店上提供的 app 存在嚴重漏洞，可能會洩漏個人隱私資料，包括密碼。

安全專家在超過 19,000 個 Android app 中發現一個新的嚴重漏洞，它可能會讓使用者的個人資料面臨風險，包括電子郵件地址、出生日期、當前位置和密碼等等。而且這些受到影響的 app 皆是透過 Google Play 官方 Android 商店下載。這個消息令人震驚 – 官方商店理應保障 Android 手機安全，不該出現 app 安全問題。

根據 Avast 安全公司的研究團隊指出，此漏洞出現在各式各樣的 app，包括生活、體能訓練、遊戲、電子郵件，甚至外送 app。此一嚴重的漏洞是由於 app 開發者使用 Firebase 資料庫錯誤配置所造成。Firebase 是 Google 開發的一個平台，幫助開發者製作行動與網路 app，卻沒有遵循公司的最佳實作方式，容易使這些 app 資料受到攻擊。

當 Avast Threat Labs 研究人員查看 180,300 個可用的開放 Firebase 實例時，他們發現其中約有 10% （19,300 個 app）門戶洞開，將資料暴露在未經授權的開發者面前。這些開放實例讓使用 Firebase 開發的 app 所儲存與使用的資料面臨被盜的風險，目前使用者幾乎無法採取任何保護措施。

「這些開放實例都是有一天會發生的資料洩露事，如果發生，可能會造成商業、法律和監管風險，」Avast 惡意軟體研究人員 Vladimir Martyanov 解釋道。

「現今，任何一間公司組織都有自己的 app，包括商店、健身房、郵局，甚至是環境和捐款 app，皆是為了便利而創建，且立意良好。而更，企業應該堅持負責任地開發 app，將安全和隱私看作整個 app 開發過程最重要的部分，而不僅僅是後來的附加價值。」

「我們建議所有開發人員檢查他們的資料庫和其他儲存資料是否存在可能的錯誤配置，以保護使用者資料，進一步保護數位世界的安全，」Vladimir Martyanov 如是說。