Firebase后端配置错误 导致大量应用程序敏感数据泄露

移动安全公司 Appthority 本周发布报告称，由于 Firebase 数据库配置错误，导致数以千计的 iOS / Android 应用程序泄露了超过 113GB 的数据。

Firebase 是 Google 提供的“后端即服务”产品，其中包含了大量开发服务，旨在方便移动开发人员创建基于这些服务的移动或 Web 应用。

Firebase 深受顶级 Android 开发者的欢迎，因为它提供了云消息传递、推送通知、数据库、分析、广告、以及其它更多后端和 API 。开发者们可以轻松嵌入自己的项目，并受益于 Google 的大规模高性能应用系统。

然而 Appthority 在扫描了 270 万款移动 app 后发现，其中存在着大量的问题。

从 2018 年 1 月开始，Appthority 的研究人员开始对使用 Firebase 系统的移动应用程序进行扫描，以存储用户数据和分析 app 对 Firebase 域请求的通信模式。

研究人员特别搜索了连接到基于 Firebse 的 JSON URL 的应用。然而在直接访问时，却发现其允许任何未经授权的第三方查看所有应用的数据。

研究人员扫描了超过 270 万个 iOS / Android 应用程序后，发现了 28502 个移动 app 在使用 Firebase 后端连接并存储数据（含 27227 个 Android / 1275 款 iOS 应用）。

其中的 3046 款 app（2446 个 Android / 600 款 iOS 应用），将数据保存在了 2271 个错误配置的 Firebase 数据库中，从而允许任何人查看其中的内容。

数据库一共暴露了 1 亿多条用户数据记录，泄露信息总量达到了113GB 以上，其中包括：

260 万个明文密码和用户 ID；

超 400 万受保护的健康信息（PHI）记录 -- 含聊天消息与处方细节；

2500 万 GPS 地理位置记录；

5 万财务信息 -- 含银行、支付与比特币交易记录；

450 万 Facebook、LinkedIn、Firebase 等企业数据存储用户口令。

Appthority 指出，仅在 Google Play 商店，Android 版本的 app 就已经被下载了超过 6.2 亿次，表明一些非常受欢迎的 app 都在这些漏洞后端上运行。

万幸的是，在发布报告之前，Appthority 已提前向 Google 知会这一问题，并且提供了受影响的 app 和 Firebase 数据库服务器列表。

实际上，这并不是 Appthority 首次发现应用程序后端服务器暴露关键用户数据：

去年，该公司在发布的《HospitalGown》报告中透露，有超过 1000 款应用程序通过 MongoDB、Redis、CouchDB、Elasticsearch 和 MySQL 后端服务器，暴露了超过43TB的用户数据。

同样在去年，Appthority 研究人员发现，数十名开发者已经在围绕 Twilio 服务构建的数百个 app 中留下了 API 凭证，暴露了客户的私人通话记录和短信。

来自：https://www.cnbeta.com/articles/soft/740253.htm

安全圈综合整理 如有侵权请联系删除