信息來源:secdoctor
移動應用安全提供商 Appthority 上周指出����,由于配置不當,導致使用 Firebase 服務的 3,046 個移動應用暴露了計劃用戶信息��,共計 113 GB���,并且包括純文本用戶在內(nèi)的超過 1 億個可公開訪問的數(shù)據(jù)�����。 帳號和密碼以及 GPS 位置信息����。
Firebase 是網(wǎng)絡和移動應用程序的開發(fā)平臺。 它提供了云消息傳遞���,通知���,數(shù)據(jù)庫����,分析功能以及許多后端 API。 它于 2014 年被谷歌收購�,并受到眾多Android開發(fā)者的歡迎。 也是最受歡迎的移動應用程序數(shù)據(jù)存儲平臺之一�����。
在查看超過 270 萬移動應用程序后的 Appthority 中��,發(fā)現(xiàn) 28,000 個移動應用程序?qū)?shù)據(jù)存儲在 Firebase 的后端�����。 其中��,3,046 個程序?qū)?2,271 個數(shù)據(jù)錯誤地配置為 Firebase 數(shù)據(jù)庫���,同時允許第三方公開查看�����。 其中大多數(shù)是 Android 程序����,占用了 2,446 個,另外有 600 個 iOS 程序�����。
所有泄露的程序數(shù)據(jù)量為 113GB��,包含 260 萬個明文密碼和用戶賬號�,400 萬條聊天記錄,2500 萬個 GPS 位置信息以及 50,000 個金融交易信息�。 Facebook / LinkedIn / Firebase 用戶憑證為 450 萬筆。
Appthority 指出�,2,446 個 Android 程序在 Google Play 上的下載量超過 6.2 億次。 它們分布在不同的類別中��,從工具�,生產(chǎn)力,健身�,通信�,財務和業(yè)務應用程序�����。 62% 的公司至少使用其中一項計劃��。
雖然這主要是因為開發(fā)者沒有驗證訪問權(quán)限���,以至于任何人都可以訪問屬于 Firebase 數(shù)據(jù)庫的配置故障,但 Appthority 正在指向 Google��,認為 Firebase 未在默認情況下保護好用戶數(shù)據(jù)�,而且還缺乏可以加密用戶數(shù)據(jù)的第三方工具。
