500万回以上ダウンロードのAndroidアプリからユーザー情報が流出

CyberNewsは12月8日(米国時間)、「Android app with over 5m downloads leaked user browsing history｜Cybernews」において、Androidアプリからユーザーの閲覧履歴が流出していると伝えた。「Web Explorer - Fast Internet」と呼ばれるAndroid向けブラウジングアプリがFirebaseのインスタンスをオープンにしていたため、アプリやユーザーのデータを流出させていたことが明らかとなった。

Firebaseは分析、ホスティング、リアルタイムクラウドストレージなど多くの機能が提供されているモバイルアプリケーション開発プラットフォーム。Web Explorer - Fast Internetは、Google Playストアで500万回以上ダウンロードされているブラウジングアプリで、閲覧速度を30%向上させるといわれており、5万8000件以上のレビューを受けており、評価の平均は4.4となっている。

CyberNewsのセキュリティ研究チームにより、Web Explorer - Fast InternetのオープンなFirebaseインスタンスにユーザーIDごとに表示された数日分のリダイレクトデータが含まれていることがわかった。このデータには、国名、リダイレクト元アドレス、リダイレクト先アドレス、ユーザーの国名が含まれていたという。脅威者がアプリのユーザーの匿名性を解除できれば、特定のユーザーの閲覧履歴が確認され、恐喝に利用される危険性があると指摘されている。

また、このアプリのクライアント側に機密情報がハードコードされていることも発見されている。このセキュリティ上の欠陥は、機密性の高いユーザーの情報をさらに流出させる可能性がある重大な設定ミスと分析されている。

現在、オープンなFirebaseインスタンスは閉鎖されており、アクセスできない状態になったと報告されている。しかしながら、アプリ側に機密情報がハードコードされたままとなっているため、アプリの問題は部分的にしか解決されていないと述べられている。