
Více než 4 000 aplikací pro Android, které používají databáze Firebase hostované společností Google, „nevědomky“ unikají citlivé informace o jejich uživatelích, včetně jejich e-mailových adres, uživatelských jmen, hesel, telefonních čísel, úplných jmen, chatových zpráv a údajů o poloze.
Téměř 5 % mobilních aplikací využívajících Google Firebase k ukládání uživatelských dat není řádně zabezpečeno, což umožňuje přístup k databázím obsahujícím osobní informace uživatelů, přístupové tokeny a další data bez hesla nebo jiné autentizace.
Vzhledem k tomu, že dotyčné zranitelné aplikace – většinou zahrnující hry, vzdělávání, zábavu a obchodní kategorie nainstalované uživateli Androidu, je velká šance, že nějaká aplikace bude zranitelná.
Vzhledem k tomu, že Firebase je nástroj pro více platforem, nesprávné konfigurace pravděpodobně ovlivní iOS a webové aplikace.
Celý obsah databáze zahrnující 4 282 aplikací zahrnoval:
E-mailové adresy: 7 000 000+
Uživatelská jména: 4 400 000+
Hesla: 1 000 000+
Telefonní čísla: 5 300 000+
Úplná jména: 18 300 000+
Chatovací zprávy: 6 800 000+
GPS data: 6 200 000+
IP adresy: 156 000+
Ulice: 560 000+
Kromě 155 066 aplikací, které mají veřejně exponované databáze, je dále 9 014 aplikací s povolením zápisu, což potenciálně umožňuje útočníkovi vkládat škodlivá data a poškodit databázi a dokonce šířit malware.
Další komplikací je indexování adres databáze Firebase pomocí vyhledávačů, jako je Bing, který vystavuje zranitelné koncové body pro kohokoli na internetu.
Poté, co byla společnost Google informována o zjištěních zranitelnostech 22. dubna, vyhledávací gigant oznámil, že oslovuje vývojáře, aby problémy opravili.
Comments are closed.