Cats Tower 游戏泄露 45 万用户隐私数据

网络安全研究人员发现iOS游戏《Cats Tower: The Cat Game!》存在数据泄露，该应用使近45万用户面临被黑客追踪、劫持Facebook账户甚至武器化其后端系统的风险。Cybernews团队确认，这款由App Store显示开发商为Rhino Games（隐私政策链接指向亚美尼亚移动游戏公司Next Epic LLC）的游戏，因Firebase配置错误导致以下信息暴露：用户名称、IP地址、Facebook用户ID及访问令牌以及硬编码密钥。

泄露的IP地址虽非精确GPS坐标，但结合其他公开或泄露数据仍可定位用户居住地。尤其危险的是229组Facebook访问令牌，攻击者可借此侵入账户发布加密货币诈骗或向好友发送钓鱼链接。研究人员多次联系相关公司均未获回应。

调查期间，暴露的Firebase实例持续泄露超45万用户的IP与用户名，由于Firebase作为临时数据库会定期与永久后端同步，当前可见数据可能只是冰山一角。技术娴熟的黑客可部署实时爬虫监控数据库，将单次泄露转为持续性监控行动。

更严重的是，该应用代码库中散布着本应对开发团队保密的敏感密钥，包括：客户端ID、反向客户端ID、安卓客户端ID、API密钥、项目ID、存储桶、谷歌应用ID、数据库URL、GAD应用标识符。

这些密钥属于iOS应用中最常泄露的前十类敏感信息。网络安全专家警告，将API密钥等凭证硬编码至发布版应用的行为存在极大风险，攻击者可借此逆向工程整个后端系统，滥用服务收集更多用户数据、伪造请求甚至通过应用基础设施直接发送垃圾信息。

此次泄露事件是Cybernews对App Store中15.6万款iOS应用（约占总量8%）调查的典型案例。研究发现71%的受检应用至少泄露一项密钥，平均每款应用暴露5.2项敏感信息。例如多款热门约会应用泄露的硬编码凭证可访问存有近150万用户照片的云存储桶（含已删除图片、违规内容及私密消息图片）；某家庭位置追踪应用实时泄露GPS坐标；某防骚扰应用泄露拦截号码、关键词及含真实姓名/邮件的客服工单。

消息来源： cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；