14.05.2020 | Неправильная конфигурация Firebase позволяет похищать пользовательские данные |
Более 4 тыс. Android-приложений, которые используют облачные базы данных Google Firebase, непреднамеренно раскрывают конфиденциальную информацию о своих пользователях, включая адреса электронной почты, логины, пароли, номера телефонов, полные имена, сообщения чата и данные о местоположении. Специалист Боб Дьяченко (Bob Diachenko) из Security Discovery совместно с Comparitech выяснил это, проанализировав более 515 тыс. Android-приложений. «4,8% мобильных приложений в Google Play Store, использующих Firebase для хранения пользовательских данных, не защищены должным образом, позволяя потенциальному злоумышленнику получить доступ к базам данных, содержащим личную информацию пользователей, токены доступа и другие незащищенные данные без пароля или какой-либо другой аутентификации», — пояснили эксперты Firebase является популярной платформой для разработки мобильных приложений, предлагающей разработчикам различные инструменты для создания программ, безопасного хранения данных, исправления проблем и взаимодействия с пользователями посредством функции обмена сообщениями. По словам исследователей, поскольку Firebase является кроссплатформенным инструментом, неправильная конфигурация может также затрагивать iOS- и web-приложения. Полное содержимое базы данных, охватывающее 4282 приложения, включает более 7 млн адресов электронной почты, 4,4 млн логинов, 1 млн паролей, 5,3 млн телефонных номеров, 18,3 млн полных имен, 6,8 млн сообщений чата, 6,2 млн данных GPS, 156 тыс. IP-адресов и 560 тыс. реальных адресов. Эксперты в ходе анализа также обнаружили 9 тыс. приложений с разрешениями на запись, потенциально позволяющих злоумышленнику внедрить вредоносные данные, повредить базу данных и даже установить вредоносное ПО. Некорректная конфигурация Firebase позволяет злоумышленникам легко находить и похищать данные. Просто добавив «.json» в конец URL-адреса Firebase, злоумышленник может просмотреть и загрузить содержимое уязвимых баз данных. Хотя компания Google еще в 2019 году удалила уязвимые URL-адреса базы данных из результатов поиска, они все еще индексируются другими поисковыми системами, такими как Bing. |
Проверить безопасность сайта