信息來源:secdoctor
移動(dòng)應(yīng)用安全提供商 Appthority 上周指出,由于配置不當(dāng)����,導(dǎo)致使用 Firebase 服務(wù)的 3,046 個(gè)移動(dòng)應(yīng)用暴露了計(jì)劃用戶信息,共計(jì) 113 GB��,并且包括純文本用戶在內(nèi)的超過 1 億個(gè)可公開訪問的數(shù)據(jù)���。 帳號(hào)和密碼以及 GPS 位置信息�����。
Firebase 是網(wǎng)絡(luò)和移動(dòng)應(yīng)用程序的開發(fā)平臺(tái)���。 它提供了云消息傳遞�,通知�,數(shù)據(jù)庫,分析功能以及許多后端 API�����。 它于 2014 年被谷歌收購��,并受到眾多Android開發(fā)者的歡迎�����。 也是最受歡迎的移動(dòng)應(yīng)用程序數(shù)據(jù)存儲(chǔ)平臺(tái)之一�����。
在查看超過 270 萬移動(dòng)應(yīng)用程序后的 Appthority 中��,發(fā)現(xiàn) 28,000 個(gè)移動(dòng)應(yīng)用程序?qū)?shù)據(jù)存儲(chǔ)在 Firebase 的后端���。 其中����,3,046 個(gè)程序?qū)?2,271 個(gè)數(shù)據(jù)錯(cuò)誤地配置為 Firebase 數(shù)據(jù)庫�����,同時(shí)允許第三方公開查看�����。 其中大多數(shù)是 Android 程序�����,占用了 2,446 個(gè)���,另外有 600 個(gè) iOS 程序�����。
所有泄露的程序數(shù)據(jù)量為 113GB���,包含 260 萬個(gè)明文密碼和用戶賬號(hào)�����,400 萬條聊天記錄����,2500 萬個(gè) GPS 位置信息以及 50,000 個(gè)金融交易信息���。 Facebook / LinkedIn / Firebase 用戶憑證為 450 萬筆�。
Appthority 指出����,2,446 個(gè) Android 程序在 Google Play 上的下載量超過 6.2 億次。 它們分布在不同的類別中�,從工具,生產(chǎn)力����,健身����,通信,財(cái)務(wù)和業(yè)務(wù)應(yīng)用程序����。 62% 的公司至少使用其中一項(xiàng)計(jì)劃�。
雖然這主要是因?yàn)殚_發(fā)者沒有驗(yàn)證訪問權(quán)限���,以至于任何人都可以訪問屬于 Firebase 數(shù)據(jù)庫的配置故障���,但 Appthority 正在指向 Google,認(rèn)為 Firebase 未在默認(rèn)情況下保護(hù)好用戶數(shù)據(jù)����,而且還缺乏可以加密用戶數(shù)據(jù)的第三方工具。
