Google Firebase后端配置错误 导致大量APP敏感数据泄露
发布日期:2018-06-28Google 提供的“后端即服务”产品Firebase,由于数据库配置错误,导致数以千计的 iOS / Android APP泄露了超过 113GB 的数据。Firebase包含了大量服务,旨在方便移动开发人员创建基于这些服务的移动或 Web 应用。该泄露事件由移动安全公司 Appthority发布报告。
Firebase 深受顶级 Android 开发者的欢迎,因为它提供了云消息传递、推送通知、数据库、分析、广告、以及其它更多后端和 API 。“开发者们可以轻松嵌入自己的项目,并受益于 Google 的大规模高性能应用系统。然而 Appthority 在扫描了 270 万款移动 app 后发现,其中存在着大量的问题。”
从 2018 年 1 月开始,Appthority 的研究人员开始对使用 Firebase 系统的移动应用程序进行扫描,以存储用户数据和分析 app 对 Firebase 域请求的通信模式。“研究人员特别搜索了连接到基于 Firebse 的 JSON URL 的应用。然而在直接访问时,却发现其允许任何未经授权的第三方查看所有应用的数据。”
研究人员扫描了超过 270 万个 iOS / Android 应用程序后,发现了 28502 个移动 app 在使用 Firebase 后端连接并存储数据(含 27227 个 Android / 1275 款 iOS 应用)。“其中的 3046 款 app(2446 个 Android / 600 款 iOS 应用),将数据保存在了 2271 个错误配置的 Firebase 数据库中,从而允许任何人查看其中的内容。”
数据库一共暴露了 1 亿多条用户数据记录,泄露信息总量达到了 113GB 以上,其中包括:
- 260 万个明文密码和用户 ID;
- 超 400 万受保护的健康信息(PHI)记录 -- 含聊天消息与处方细节;
- 2500 万 GPS 地理位置记录;
- 5 万财务信息 -- 含银行、支付与比特币交易记录;
- 450 万 Facebook、LinkedIn、Firebase 等企业数据存储用户口令。
Appthority 指出,仅在 Google Play 商店,Android 版本的 app 就已经被下载了超过 6.2 亿次,表明一些非常受欢迎的 app 都在这些漏洞后端上运行。“万幸的是,在发布报告之前,Appthority 已提前向 Google 知会这一问题,并且提供了受影响的 app 和 Firebase 数据库列表。”
实际上,这并不是 Appthority 首次发现应用程序后端服务器暴露关键用户数据:“去年,该公司在发布的《HospitalGown》报告中透露,有超过 1000 款应用程序通过 MongoDB、Redis、CouchDB、Elasticsearch 和 MySQL 后端服务器,暴露了超过 43TB 的用户数据。”同样在去年,Appthority 研究人员发现,数十名开发者已经在围绕 Twilio 服务构建的数百个 app 中留下了 API 凭证,暴露了客户的私人通话记录和短信。
文章来源:CnBeta,编译自:Bleeping Computer