Firebase後端配置錯誤 導致大量應用程序敏感數據泄露

移動安全公司 Appthority 本周發布報告稱，由於 Firebase 資料庫配置錯誤，導致數以千計的 iOS / Android 應用程序泄露了超過 113GB 的數據。Firebase 是 Google 提供的「後端即服務」產品，其中包含了大量發服務，旨在方便移動開發人員創建基於這些服務的移動或 Web 應用。

Firebase 深受頂級 Android 開發者的歡迎，因為它提供了雲消息傳遞、推送通知、資料庫、分析、廣告、以及其它更多後端和 API 。

開發者們可以輕鬆嵌入自己的項目，並受益於 Google 的大規模高性能應用系統。

然而 Appthority 在掃描了 270 萬款移動 app 後發現，其中存在著大量的問題。

從 2018 年 1 月開始，Appthority 的研究人員開始對使用 Firebase 系統的移動應用程序進行掃描，以存儲用戶數據和分析 app 對 Firebase 域請求的通信模式。

研究人員特別搜索了連接到基於 Firebse 的 JSON URL 的應用。然而在直接訪問時，卻發現其允許任何未經授權的第三方查看所有應用的數據。

研究人員掃描了超過 270 萬個 iOS / Android 應用程序後，發現了  28502 個移動 app 在使用 Firebase 後端連接並存儲數據（含 27227 個 Android / 1275 款 iOS 應用）。

其中的 3046 款 app（2446 個 Android / 600 款 iOS 應用），將數據保存在了 2271 個錯誤配置的 Firebase 資料庫中，從而允許任何人查看其中的內容。

資料庫一共暴露了 1 億多條用戶數據記錄，泄露信息總量達到了 113GB 以上，其中包括：

260 萬個明文密碼和用戶 ID；

超 400 萬受保護的健康信息（PHI）記錄 -- 含聊天消息與處方細節；

2500 萬 GPS 地理位置記錄；

5 萬財務信息 -- 含銀行、支付與比特幣交易記錄；

450 萬 Facebook、LinkedIn、Firebase 等企業數據存儲用戶口令。

Appthority 指出，僅在 Google Play 商店，Android 版本的 app 就已經被下載了超過 6.2 億次，表明一些非常受歡迎的 app 都在這些漏洞後端上運行。

萬幸的是，在發布報告之前，Appthority 已提前向 Google 知會這一問題，並且提供了受影響的 app 和 Firebase 資料庫 伺服器 列表。

實際上，這並不是 Appthority 首次發現應用程序後端伺服器暴露關鍵用戶數據：

去年，該公司在發布的《HospitalGown》報告中透露，有超過 1000 款應用程序通過 MongoDB、Redis、CouchDB、Elasticsearch 和 MySQL 後端伺服器，暴露了超過 43TB 的用戶數據。

同樣在去年，Appthority 研究人員發現，數十名開發者已經在圍繞 Twilio 服務構建的數百個 app 中留下了 API 憑證，暴露了客戶的私人通話記錄和簡訊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！