第二手机号 iOS 应用泄露用户短信，秘密通讯陷入危险

一款在美国拥有数百万次下载的虚拟电话号码 iOS 应用暴露了用户数据，包括消息、媒体以及发件人和收件人详情。

虽然有许多理由需要虚拟电话号码，但隐私是最常见的。这一点并未逃过“第二个电话号码”应用制作者的注意，因为其 App Store 描述以“需要第二个电话号码进行私密通话和短信吗？”开头。

然而，期待隐私的用户将面临惊喜。Cybernews 研究团队发现，这款流行的 iPhone 应用的错误配置的 Firebase 实例暴露了可能不适合外界了解的用户详情。

一些用户使用该应用进行约会，其他人用它来开展业务。熟练的攻击者将拥有大量数据来勒索那些出于个人目的使用该应用的用户，”Cybernews 的信息安全研究员 Aras Nazarovas 观察到。

为什么第二个电话号码泄露是个问题？

由于应用商店不提供有关有多少用户下载了某个应用的详细信息，因此不清楚有多少人可能受到泄露的影响。然而，第三方估计显示，第二个电话号码可能被下载近四百万次，其中仅在美国就有超过三百万次。

根据我们团队的说法，当暴露的 Firebase 实例被发现时，包括发件人和收件人电话号码以及由应用用户设置的收件人姓名在内的 700 多条短信被揭露。

然而，泄露的真实范围可能远大于此。一方面，Firebase 充当临时数据库，这意味着该服务存储的实际数据量可能要高得多。攻击者完全了解 Firebase 的工作原理，并可能利用它来获取优势。

“一些用户使用该应用进行约会，其他人用它来开展业务。熟练的攻击者将拥有大量数据，足以勒索那些出于个人目的使用该应用的用户”  纳扎罗瓦斯观察到。

团队认为恶意行为者可能会使用爬虫——这些是自动程序，会不断从同一资源请求新的数据——并下载和存储响应。

“威胁行为者可以设置这些爬虫，以持续下载 Firebase 实例中的敏感数据，并实时访问新数据，例如发送的消息，”纳扎罗瓦斯解释道。

最重要的是，泄露的数据可能对网络犯罪分子来说值得付出努力。一方面，一些用户可能使用该应用为他们的通讯添加一层匿名性。这表明他们对隐私的敏感性。

同时，其他用户利用“第二个电话号码”进行安全的商家与客户之间的通讯。团队认为攻击者可能利用可用的详细信息进行账户劫持，获取关键的运输信息。

  iOS 应用秘密泄露

应用泄露的 Firebase 实例不仅暴露了敏感的用户信息。还包括客户端应用程序的许多秘密，包括密钥和 ID：

•   API 密钥
•   客户端 ID
•   数据库 URL
•   Google 应用 ID
•   项目 ID
•   反向客户端 ID
•   存储桶
• GAD 应用标识符

将敏感信息如 API 密钥、客户端 ID 等嵌入，是重大的安全漏洞，因为威胁行为者可以相对容易地使用基本工具提取信息。本质上，应用开发者允许恶意行为者访问受保护资源并滥用 API 服务。

然而，“秘密电话号码”只是众多泄露应用机密的 iOS 应用之一。Cybernews 研究团队最近发现了许多具有破坏性安全问题的应用。例如，许多 BDSM、LGBTQ+和糖约会应用被发现泄露了用户的私人图片，其中一些甚至泄露了私密消息中分享的照片。

在其他情况下，我们的研究人员发现，旨在追踪家庭成员或秘密存储敏感数据的应用正在泄露大量敏感数据。

最近的一次泄露是在一次大规模调查中发现的——Cybernews 研究人员下载了 156,000 个 iOS 应用，约占苹果商店所有应用的 8%，发现开发者将明文凭证留在了应用程序代码中，任何人都可以访问。

研究发现，71% 的应用程序至少泄露一个秘密，平均每个应用程序的代码泄露 5.2 个秘密。

你如何修复泄露的应用程序？

研究人员认为，为了有效地缓解这个问题，最好分别关注 Firebase 实例和硬编码的秘密。为了修复与 Firebase 相关的问题，团队建议：

• 使用适当的 Firebase 安全规则，确保只有授权和经过身份验证的用户和服务可以访问存储在其中的数据。

“该应用使用的 Firebase 实例被暴露且公开可访问，使得威胁行为者能够连接到数据库并在实时中抓取数据，从而获取有关其用户任何行为的访问权限，包括客户支持通信和用户提供的 AI 提示，”我们的研究人员表示。

同时，为了防止应用的机密信息落入错误之手，团队建议：

• 将敏感的机密信息从应用的客户端移至服务器端，并通过自己的基础设施代理流量到应用使用的第三方服务。

“硬编码的机密信息允许威胁行为者枚举应用使用的基础设施，如果存在任何身份验证机密信息，这也可能允许威胁行为者滥用受影响的服务以收集用户数据或将其用于自己的、未经授权的目的，”Nazarovas 解释道。