信息來源:secdoctor
移動(dòng)應(yīng)用安全提供商 Appthority 上周指出�,由于配置不當(dāng),導(dǎo)致使用 Firebase 服務(wù)的 3,046 個(gè)移動(dòng)應(yīng)用暴露了計(jì)劃用戶信息�,共計(jì) 113 GB���,并且包括純文本用戶在內(nèi)的超過 1 億個(gè)可公開訪問的數(shù)據(jù)。 帳號(hào)和密碼以及 GPS 位置信息�。
Firebase 是網(wǎng)絡(luò)和移動(dòng)應(yīng)用程序的開發(fā)平臺(tái)。 它提供了云消息傳遞�,通知�,數(shù)據(jù)庫����,分析功能以及許多后端 API。 它于 2014 年被谷歌收購�,并受到眾多Android開發(fā)者的歡迎。 也是最受歡迎的移動(dòng)應(yīng)用程序數(shù)據(jù)存儲(chǔ)平臺(tái)之一����。
在查看超過 270 萬移動(dòng)應(yīng)用程序后的 Appthority 中,發(fā)現(xiàn) 28,000 個(gè)移動(dòng)應(yīng)用程序?qū)?shù)據(jù)存儲(chǔ)在 Firebase 的后端�����。 其中�����,3,046 個(gè)程序?qū)?2,271 個(gè)數(shù)據(jù)錯(cuò)誤地配置為 Firebase 數(shù)據(jù)庫��,同時(shí)允許第三方公開查看���。 其中大多數(shù)是 Android 程序,占用了 2,446 個(gè)���,另外有 600 個(gè) iOS 程序����。
所有泄露的程序數(shù)據(jù)量為 113GB,包含 260 萬個(gè)明文密碼和用戶賬號(hào)����,400 萬條聊天記錄,2500 萬個(gè) GPS 位置信息以及 50,000 個(gè)金融交易信息�。 Facebook / LinkedIn / Firebase 用戶憑證為 450 萬筆。
Appthority 指出�����,2,446 個(gè) Android 程序在 Google Play 上的下載量超過 6.2 億次��。 它們分布在不同的類別中�����,從工具�,生產(chǎn)力,健身��,通信��,財(cái)務(wù)和業(yè)務(wù)應(yīng)用程序。 62% 的公司至少使用其中一項(xiàng)計(jì)劃�。
雖然這主要是因?yàn)殚_發(fā)者沒有驗(yàn)證訪問權(quán)限,以至于任何人都可以訪問屬于 Firebase 數(shù)據(jù)庫的配置故障��,但 Appthority 正在指向 Google�����,認(rèn)為 Firebase 未在默認(rèn)情況下保護(hù)好用戶數(shù)據(jù)�����,而且還缺乏可以加密用戶數(shù)據(jù)的第三方工具�。
