Android-игра Sweet Diamond Shooter раскрыла 484 МБ данных геймеров

Екатерина Быстрова 10 Февраля 2023 - 08:57

Домашние пользователи

Android

Утечки информации

Умышленные утечки информации

Кража данных

...

Android-игра Sweet Diamond Shooter раскрыла 484 МБ данных геймеров

Как показало исследование Cybernews, популярная игра для Android-смартфонов хранила конфиденциальные данные геймеров в жёстко закодированном виде на клиентской стороне приложения. Речь идёт о Sweet Diamond Shooter.

В данном случае подход разработчиков игры позволял злоумышленникам добраться до ключей Google API, ссылок на хранилища Google Storage и незащищённых баз данных. Для этого атакующие должны были просто изучить общедоступную информацию о Sweet Diamond Shooter.

В официальном магазине Google App Store у этой игры более 100 тысяч загрузок — неплохая клиентская база. Согласно описанию, Sweet Diamond Shooter «позволяет пользователям стрелять в бриллианты и выигрывать реальные призы за заработанные очки». Игру разрабатывает компания Sweet Media Marketing.

В общей сложности у Sweet Media Marketing 12 приложений в Google Play, а общее число загрузок превышает полтора миллиона.

Исследователи Cybernews отметили, что в реализации Sweet Diamond Shooter допущена банальная ошибка девелоперов: они оставили базу данных открытой, что подвергало опасности данные игроков.

БД насчитывала 484 МБ записей, включающих IP-адреса пользователей, телефонные номера, адреса электронной почты и другие сведения. Взяв в оборот эту информацию, условный злоумышленник мог связать имейл с телефонным номером и попытаться обойти защиту аккаунта двухфакторной аутентификацией (2FA).

Более того, киберпреступник мог бы модифицировать или просто стереть все данные. При таком сценарии помогла бы только свежая резервная копия.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 04 Июля 2025 - 12:48

Windows Уязвимости программ Домашние пользователи Microsoft

Срочно обновляем Microsoft Edge — уязвимость в Chromium уже на мушке

Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.

Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.

Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.

В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.

Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.

Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.