CyberNewsは12月8日(現地時間)、「Android barcode scanner app exposes user passwords|Cybernews」において、Androidアプリの「Barcode to Sheet」からユーザー情報と企業データが漏洩していることを発見したと報じた。Barcode to Sheetは10万回以上ダウンロードされた人気のバーコードスキャナアプリ。カスタムフォームの作成やXML形式、カンマ区切り形式(CSV: Comma-Separated Values)、Excel形式でデータを保存できる。

  • Android barcode scanner app exposes user passwords|Cybernews

    Android barcode scanner app exposes user passwords|Cybernews

CyberNewsによると、Barcode to Sheetの開発者は368MBを超えるデータを含むFirebaseのデータを誰でもアクセスできる状態にしていたという。Firebaseはリアルタイムデータストレージサービスを提供しており、アプリ開発者は収集したデータを保存するためによく利用するとのこと。

今回発見されたデータには製品に関する情報、レポート、電子メール、ユーザーIDなどがプレーンテキストで保存されていたという。また、パスワードはMD5のハッシュ値で保存されていた。MD5は脆弱性が見つかっており、短時間で衝突するデータを計算できる可能性があるとして安全性が保証されていない。

CyberNewsはBarcode to Sheetの開発者に連絡を取り、発見した問題について通知している。これを受け、同アプリの開発者は解決に向けて取り組んでいると回答したという。つまり、本稿執筆時点では問題が解決しておらず、その状態でデータ漏洩の事実が公表されたことになる。

Barcode to Sheetを利用している場合、すでにデータが漏洩している可能性があるため、同アプリの使用の停止および漏洩した可能性のあるデータや認証情報に対して必要な処置を行うことが望まれている。