Баг в Aviate стал причиной утечки личных данных

<200

Мобильные и веб приложения давно известны, как частые источники утечек пользовательской информации в сеть в виде незашифрованных текстовых файлов. К счастью, обычно, такая информация вовсе безобидна и не может использоваться злоумышленниками, но такие инциденты не очень приятны и делают разработчикам не лучшую рекламу.

Aviate_leak_2

Если вы еще не слышали, Aviate – это очередной лончер (заменитель “рабочего стола” для Android), который обещает совершенно другой уровень взаимодействия с устройством. На данный момент Aviate доступен в Google Play, но находится на этапе закрытого бета-тестирования (хотя с недавнего времени каждый пользователь получил возможность отправить 5 инвайтов). Но, несмотря на некоторую закрытость, приложение за последний месяц набрало много поклонников и активно обсуждается в сети.

Вчера был найден баг, который позволял через интернет видеть определенную личную информацию любого пользователя Aviate. Не зная о лазейке, получить эти данные очень непросто, так как сперва вам придется узнать персональный id устройства в приложении, да и найти адрес, по которому находится нужная информация, не по силам простому смертному. Но полистав тему обсуждения бага, можно без проблем найти как необходимые ссылки, так и способы определения id.

По запросу, с указанием пользовательского идентификатора, можно было получить данные о его домашнем адресе и установленных на устройстве приложениях (хотя точно сказать, что еще разработчик мог хранить у себя на серверах, не представляется возможным).

Пример выдачи данных:

{“home_latlng”: “52.6297784,9.2342882″, “id”: “ead6b990510e4d9d”, “installed_apps”: [“com.google.android.gm”, “com.dropbox.android”, “com.socialnmobile.dictapps.notepad.color.note”, “com.google.android.apps.docs”, “tunein.player”, “com.google.android.apps.maps”, “com.google.android.youtube”, “com.ebay.mobile”, “com.google.android.music”, “com.google.android.apps.plus”, “com.devhd.feedly”, “com.ideashower.readitlater.pro”, “com.noinnion.android.greader.reader”, “com.google.android.googlequicksearchbox”, “com.google.android.apps.books”, “com.adobe.flashplayer”, “com.android.chrome”, “com.adobe.reader”, “com.hemispheregames.osmos”, “com.alensw.PicFolder”, “com.touchtype.swiftkey”, “com.amazon.kindle”, “com.estrongs.android.pop”, “com.paypal.android.p2pmobile”, “com.citc.wallbase”, “com.mhuang.overclocking”, “com.alarmclock.xtreme.free”, “com.blizzard.bma”, “com.teslacoilsw.launcher”, “com.genina.android.blackjack.view”, “cn.wps.moffice_eng”, “com.whatsapp”, “com.citc.weather”, “com.github.mobile”, “com.wunderkinder.wunderlistandroid”, “com.google.android.gallery3d”, “com.sand.airdroid”, “jackpal.androidterm”, “com.keramidas.TitaniumBackup”, “com.googlecode.android.wifi.tether”, “org.wordpress.android”, “com.jwsoft.nfcactionlauncher”, “com.android.calendar”, “com.nianticproject.ingress”, “com.dsd164.snake97”, “com.s0up.goomanager”, “org.adaway”, “de.digitalesschwarzesbrett.dsblight”, “uk.co.nickfines.RealCalcPlus”, “eu.thedarken.sdm”, “com.android.keepass”, “coolcherrytrees.games.reactor4”, “com.speedsoftware.sqleditor”, “com.android.vending”, “com.android.providers.downloads.ui”, “com.android.browser”, “com.android.mms”, “com.android.settings”, “com.google.android.talk”, “com.android.stk”, “com.fingersoft.hillclimb”, “com.android.deskclock”, “com.android.calculator2”, “com.android.soundrecorder”, “com.android.development”, “com.trello”, “com.amazon.venezia”, “com.niksoftware.snapseed”, “com.bel.android.dspmanager”, “com.chrislacy.actionlauncher.pro”, “pl.solidexplorer”, “fishnoodle.canabalt_humble”, “com.halfbrick.jetpackjoyride.amazon”, “com.jensdriller.contentproviderhelper”, “com.jv.falcon.pro”, “com.androidemu.gbc”, “de.arvidg.onlineradio”, “pl.submachine.gyro”, “com.cih.game_cih”, “eu.chainfire.perfmon”, “com.nexus4displaycontrol”, “com.gabrielittner.timetable”, “com.drinkdrankwasted.android.cvt”, “com.quoord.tapatalkHD”, “com.distractionware.superhexagon”, “com.drummerGames.px14”, “com.android.contacts”, “com.google.android.gms”, “com.crescentmoongames.slingshotracing”, “com.oasisfeng.greenify”, “com.android.dialer”, “com.google.android.play.games”, “com.google.android.googlequicksearchbox/.VoiceSearchActivity”, “com.google.android.apps.plus/.phone.ConversationListActivity”, “com.google.android.gallery3d/com.android.camera.CameraLauncher”, “com.inappsquared.devappsdirect”, “com.tul.aviate”, “com.astuetz.android.adia”, “com.chlap.neverhaveiever”, “com.jiubang.browser”, “com.nordicusability.jiffy”, “com.john.plasmasky”, “com.imgur.mobile”, “com.ryanmkelly.me.flatro”, “at.markushi.expensemanager”, “com.slim.filemanager”, “air.kenney.trid”, “lost.cart.games.circulo”, “com.kludgenics.android.notes”, “com.laurencedawson.reddit_sync”, “com.countercultured.irc.slim”, “it.evilsocket.dsploit”, “oliver.ehrenmueller.dbadmin”, “com.owentech.DevDrawer”, “com.tapchatapp.android”, “com.noodlecake.velocispider”, “com.leihwelt.android.write2”, “com.fallentreegames.amazon.quellreflect”, “com.futonredemption.android.widgetpreview”, “com.abewy.klyph_beta”, “de.skilloverflow.moneytracker”, “com.felixheller.sharedprefseditor”, “com.iwobanas.screenrecorder.free”, “com.rockolabs.adbkonnect”, “net.teknoraver.imageoptimizer”, “com.cgollner.flashify”, “kov.theme.nox”, “ch.bitspin.timely”, “com.patternedsoftware.viewsharedprefs”, “com.nerdyoctopus.gamedots”, “se.feomedia.quizkampen.de.lite”, “de.skilloverflow.gitlab”, “com.bd.gitlab”]}

Но сейчас можно быть вполне спокойным. После оглашения факта утечки данных, множество пользователей обратились к разработчикам с данной проблемой, на что был получен официальный комментарий о том, что команда Aviate ни в коем случае не следит ни за кем, и разглашать пользовательскую информацию никогда не собиралась. Также, разработчики поблагодарили за находку бага и сказали, что на данный момент доступ к информации закрыт и они работают в поте лица над поиском и устранением всех возможных аналогичных дыр.

В принципе, ничего особенного в разрешениях для приложения Aviate, как для лончера, нет. Но похвалить разработчиков за неаккуратность и за то, каким образом ваша информация могла попасть в сеть, тоже нельзя. Пройдя по адресу http://www.getaviate.com/search/api/v3/devices/DEVICEID и введя свой персональный номер (который можно легко найти в лог-файле в памяти смартфона или просто нажав на кнопку “Help” в меню), вы получите стопку записей, включая информацию о местоположении. Согласитесь, осознавать, что с помощью несложной манипуляции любой желающий мог узнать где находитесь вы или вообще любой пользователь Aviate в данный момент, не очень здорово.

Так что, на очередном примере неосторожности разработчиков стоит еще раз напомнить себе, что устанавливая и пользуясь приложением, будь оно рекомендовано хоть министерством обороны (наверное, им в первую очередь), в принципе, вы защищены лишь настолько, насколько над этим потрудился создатель программы. А что было у него на уме, и сколько сил он потратил на то, чтобы предоставить защиту вашей информации – этого наверняка вам не скажет никто.


  • iamamannama

    Ни у кого случайно не завалялся инвайт?

  • kankov

    Может еще один инвайтик для меня? Очень благодарен.

  • Павел

    Вопрос к юзерам: лучше или хуже Next Launcher?

    • Сложно сказать. Это как сравнивать самолет и яхту. Сам принцип Aviate отличается от привычного лончера для андроид, а Next предлагает только лишь красивые 3D эффекты, а в остальном мало чем отличается принципиально…

  • Константин

    Отправьте мне пожалуйста приглашение kostyasound@gmail.com !! Буду очень благодарен .

  • Александр

    Господа, остался ли у кого-нибудь инвайт? Буду благодарен) a-dav@mail.ru