باگ Rioat App و نشت اطلاعات کاربران Clash of Clans

یک پایگاه داده منتشر  شده و محرمانه در یک برنامه جانبی باعث می‌شود بازیکنان Clash of Clans در معرض حملات از سوی هکرها قرار گیرند. بخش تحقیقاتی تیم امنیتی ابدال کشف کرده است که برنامه Clash Base Designer Easy Copy پایگاه داده Firebase و اطلاعات حساس کاربران خود را فاش کرده است.

این برنامه که 100,000 بار از فروشگاه Google Play دانلود شده است، به کاربران Clash of Clans امکان می‌دهد تا یک طرح قلعه سفارشی بسازند و آن را به بازی وارد کنند. کاربران از این طرح‌ها برای محافظت از جام‌ها یا غنائم خود در طی نبردها استفاده می‌کنند.

این برنامه توسط Rioat Apps توسعه یافته است، نامی که ممکن است با استودیوی معروف بازی‌های Riot Games که بازی‌هایی مانند "Fortnite" و "League of Legends" را خلق کرده است، اشتباه گرفته شود.

پایگاه داده منتشر شده باعث خطر برای کاربران Clash of Clans می‌شود. در حالی که داده‌های موجود در Firebase باز چندان حساس نیستند، اگر برای هکرها از جنبه های مختلف قابل استفاده است .

علاوه بر این، پایگاه داده شش رمز را که به صورت سخت‌افزاری در مانیفست کدگذاری شده‌اند، فاش کرده است که این امر به همراه سایر آسیب‌پذیری‌های بالقوه می‌تواند به هکرها برای ایجاد  Backdoor و تزریق‌های کد مخرب دسترسی بدهد.

URL نشت شده برای باکت های ذخیره‌سازی Google نگران‌کننده است، زیرا این یک لینک به سیستم ذخیره‌سازی است که می‌تواند عملاً هر چیزی را از فایل‌های متنی گرفته تا پایگاه‌های داده، پشتیبان‌ها، تصاویر، ویدیوها یا سایر اطلاعات حساس ذخیره کند.

اطلاعات نشت شده به شرح زیر است

Default_web_client_id: شناسه عمومی منحصر به فردی که برای یک برنامه که از Firebase oAuth استفاده می‌کند، ارسال می‌شود.
gcm_defaultSenderId: شناسه فنی اختصاص داده شده توسط Google cloud هنگام استفاده از پلاگین gradle.
Google_api_key: رشته‌ای که برای دسترسی به خدمات خاص Google استفاده می‌شود.
Google_app_id: یک شناسه که به همراه google_api_key برای شناسایی یک برنامه Google استفاده می‌شود.
Google_crash_reporting_api_key: مجوز برای گزارش‌های سقوط Google.
Google_storage_bucket: URL برای سیستم ذخیره‌سازی باکت ذخیره‌سازی Google.