Logo ms.androidermagazine.com
Logo ms.androidermagazine.com

Beribu-ribu aplikasi android dan ios membocorkan data anda melalui backend firebase (update)

Anonim

Kemas kini 2 Julai 2018:

Google telah bertindak balas kepada pertanyaan kami dan sedikit perbincangan dengan ahli pasukan Google Cloud telah membersihkan beberapa soalan yang mengelilingi laporan ini.

Pangkalan data firebase adalah selamat secara lalai apabila ia dicipta dan semua kes ini adalah contoh di mana pemaju tidak mengikuti amalan terbaik dalam satu bentuk atau yang lain. Google menerbitkan panduan penuh untuk mendapatkan pangkalan data realtime dengan Firebase. Di samping itu, konsol pentadbir Firebase memaparkan amaran yang tidak dapat disangkal apabila pangkalan data mempunyai perlindungan lalai biasa dan dikonfigurasi untuk membolehkan akses awam.

Google juga memberitahu saya bahawa e-mel telah dihantar kepada semua projek yang tidak selamat dengan arahan lengkap tentang bagaimana untuk menukar keselamatan pangkalan data pada Disember 2017. Sudah jelas selepas bercakap dengan ahli jika pasukan Google Cloud yang Firebase selamat seperti yang kita semua fikirkan adalah dan isu-isu seperti ini dikaitkan dengan kesilapan pemaju.

Artikel asal muncul di bawah.

Firebase adalah perkhidmatan yang hebat untuk mana-mana pemaju kecil yang perlu mempunyai perkhidmatan dalam talian yang disediakan. Ia dikuasakan oleh Google dan syarikat itu keluar dari caranya untuk membantu pemaju menggunakannya dalam apl mudah alih mereka. Anda boleh melihat dengan hanya menonton mana-mana video sesi Google I / O mengenai Firebase yang benar-benar bersorak apabila pemaju disebutkan.

Rupa-rupanya, sesetengah pemaju telah terkena masalah ketika membuat konfigurasi pangkalan data yang mungkin mereka gunakan untuk menyimpan data anda. Selepas mengimbas 2.7 juta aplikasi, penyelidik keselamatan di Appthority mengatakan lebih daripada 113GB data boleh didapati melalui lebih daripada 2, 200 pangkalan data Firebase kepada sesiapa yang mengetahui URL yang betul. Secara keseluruhan, terdapat lebih daripada 100 juta rekod peribadi yang terdedah.

Para penyelidik mendapati 28, 500 aplikasi yang menggunakan Firebase untuk menyambung dan menyimpan butiran pengguna, yang mana 3, 046 menyimpan data mereka di dalam pangkalan data Firebase yang salah yang dapat dibaca melalui penggunaan skema URL JSON. Kebanyakan aplikasi yang menggunakan Firebase adalah untuk Android, tetapi 600 aplikasi yang mendedahkan data adalah untuk iOS. Masalahnya adalah platform-agnostik, dan aplikasi yang dipersoalkan bukanlah pelakunya di sini. Ia hanya konfigurasi pangkalan data pada backend.

Maklumat yang dibocorkan mengandungi:

  • 2.6 juta kata laluan plaintext dan ID pengguna.
  • 4 juta + PHI (Maklumat Kesihatan Dilindungi) rekod.
  • 25 juta rekod GPS.
  • 50 ribu termasuk transaksi Bitcoin.
  • 4.5 juta Facebook, LinkedIn, tokens pengguna stor data korporat.

Appthority memaklumkan kepada Google mengenai konfigurasi pangkalan data dan menyediakan senarai aplikasi yang terjejas sebelum laporan ini diterbitkan. Kami telah menjangkau untuk mengetahui sama ada Google mempunyai apa-apa yang mereka mahu tambah dan akan dikemas kini sebaik sahaja ia diterima.

Appthority bukanlah orang asing untuk mencari pangkalan data dalam talian yang tidak dikonfigurasi. Sebelum ini, syarikat itu telah menemui data pengguna "kritikal" yang terdedah melalui perkhidmatan seperti MongoDB, CouchDB, Redis, MySQL, dan Twilio.