移动安全公司 Appthority 本周发布报告称,由于 Firebase 数据库配置错误,导致数以千计的 iOS / Android 应用程序泄露了超过 113GB 的数据。
Firebase 是 Google 提供的“后端即服务”产品,其中包含了大量开发服务,旨在方便移动开发人员创建基于这些服务的移动或 Web 应用。
Firebase 深受顶级 Android 开发者的欢迎,因为它提供了云消息传递、推送通知、数据库、分析、广告、以及其它更多后端和 API 。开发者们可以轻松嵌入自己的项目,并受益于 Google 的大规模高性能应用系统。
然而 Appthority 在扫描了 270 万款移动 app 后发现,其中存在着大量的问题。
从 2018 年 1 月开始,Appthority 的研究人员开始对使用 Firebase 系统的移动应用程序进行扫描,以存储用户数据和分析 app 对 Firebase 域请求的通信模式。
研究人员特别搜索了连接到基于 Firebse 的 JSON URL 的应用。然而在直接访问时,却发现其允许任何未经授权的第三方查看所有应用的数据。
研究人员扫描了超过 270 万个 iOS / Android 应用程序后,发现了 28502 个移动 app 在使用 Firebase 后端连接并存储数据(含 27227 个 Android / 1275 款 iOS 应用)。
其中的 3046 款 app(2446 个 Android / 600 款 iOS 应用),将数据保存在了 2271 个错误配置的 Firebase 数据库中,从而允许任何人查看其中的内容。
数据库一共暴露了 1 亿多条用户数据记录,泄露信息总量达到了113GB 以上,其中包括:
260 万个明文密码和用户 ID;
超 400 万受保护的健康信息(PHI)记录 -- 含聊天消息与处方细节;
2500 万 GPS 地理位置记录;
5 万财务信息 -- 含银行、支付与比特币交易记录;
450 万 Facebook、LinkedIn、Firebase 等企业数据存储用户口令。
Appthority 指出,仅在 Google Play 商店,Android 版本的 app 就已经被下载了超过 6.2 亿次,表明一些非常受欢迎的 app 都在这些漏洞后端上运行。
万幸的是,在发布报告之前,Appthority 已提前向 Google 知会这一问题,并且提供了受影响的 app 和 Firebase 数据库服务器列表。
实际上,这并不是 Appthority 首次发现应用程序后端服务器暴露关键用户数据:
去年,该公司在发布的《HospitalGown》报告中透露,有超过 1000 款应用程序通过 MongoDB、Redis、CouchDB、Elasticsearch 和 MySQL 后端服务器,暴露了超过43TB的用户数据。
同样在去年,Appthority 研究人员发现,数十名开发者已经在围绕 Twilio 服务构建的数百个 app 中留下了 API 凭证,暴露了客户的私人通话记录和短信。
来自:https://www.cnbeta.com/articles/soft/740253.htm
安全圈综合整理 如有侵权请联系删除
领取专属 10元无门槛券
私享最新 技术干货