Google Firebase to baza danych w chmurze, chętnie wykorzystywana przez autorów aplikacji dla Androida, iOS-a i webowych. Taką bazą trzeba umieć się posługiwać, zwłaszcza jeśli trzyma się tam dane użytkowników aplikacji.
Autorzy tysięcy aplikacji dla Androida, które przechowują dane w Firebase, nieświadomie narażają nas na potężny wyciek danych. Bob Diachenko z firmy Security Discovery wraz z analitykami z firmy Comparitech zbadał 15735 aplikacji – 18 proc. zawartości Google Play i rozsądna próbka aplikacji.
Analitycy nie podali, jaki procent aplikacji w Google Play korzysta z bazy Firebase. Oszacowali jednak, że 4,8 proc. aplikacji wykorzystujących bazę danych Google nieodpowiednio zabezpiecza swoje zasoby. Bazy ze 155 tys. aplikacji są dostępne publicznie. Mówimy tu o takich informacjach jak adresy e-mail, wiadomości wysłane przez wewnętrzny czat, imiona i nazwiska, hasła, tokeny dostępowe, numery telefonów, adresy i informacje o położeniu. Można je zdobyć bez logowania do Firebase.
Zobacz: Google Play nie jest najgorszy: Ranking bezpieczeństwa sklepów z aplikacjami
To nie jest wina narzędzi Google'a. Ceniona platforma umożliwia bezpieczne przechowywanie danych aplikacji i kontakt z użytkownikami. Zawiedli programiści aplikacji.
Analitycy wydobyli informacje zapisane przez 4282 aplikacje, w tym ponad 7 mln adresów e-mail, ponad 18 mln nazwisk, milion haseł, 5 mln numerów telefonów i ponad pół miliona adresów pocztowych. Rekordy mogą zawierać także dane użytkowników iOS-a i aplikacji webowych, ponieważ wiele aplikacji jest wieloplatformowych. Nie trzeba było do tego żadnych specjalnych zabiegów hakerskich. Nie musieli stosować phishingu, żeby zdobyć hasła ani szukać niezałatanych podatności. Po prostu ściągnęli je przez ogólnodostępne API.
Zobacz: Złośliwe oprogramowanie w Google Play - tym razem kryło się w aplikacjach dla dzieci
Przy okazji odkryli, że ponad 9 tysięcy aplikacji ma inne błędy w konfiguracji Firebase. Uprawnienia umożliwiają atakującym wstrzyknięcie szkodliwego kodu i zniszczenie bazy. W niektórych przypadkach teoretycznie można by było wykorzystać Firebase do dystrybucji malware'u.
Google został poinformowany o odkryciach 22 kwietnia. Obecnie kontaktuje się z programistami, by pomóc im prawidłowo zabezpieczyć bazy.
Zobacz: xHelper, złośliwe oprogramowanie dla Androida atakuje nawet po fabrycznym resecie
Źródło zdjęć: Google Firebase
Źródło tekstu: The Hacker News
