E安全5月15日訊,近日據外媒報導,由於Google Firebase發生嚴重錯誤配置,導致4000個Android app的用戶數據遭泄露。
據悉,Firebase就是「Firebase,Inc.」,是一個於2011年被首次開發的移動和Web應用程式,隨後,它於2014年被Google收購。Firebase提供種伺服器分析,包括身份驗證、資料庫、配置、文件存儲和推送消息傳遞等,而且所有這些服務都被託管在雲中,可以由用戶輕鬆使用。目前,在Google Play商店中,有超過30%的應用都在使用Firebase服務。
來自Comparitech的安全研究人員發現,使用Google Firebase存儲數據的移動應用程式中有4.8%的應用其安全性並不正確。Firebase的錯誤配置允許任何人無需密碼或任何其他身份驗證即可訪問包含用戶個人信息、訪問令牌和其他信息的資料庫。根據研究人的統計,發現配置錯誤的應用程式已經被Android用戶安裝了42.2億次,同時使用這些應用可能會給用戶隱私帶來巨大的風險。
以下是研究人員發現的一些被公開數據,其中包含:700多萬條電子郵件地址、440萬個用戶名信息、100多萬條帳號密碼信息、530多萬的用戶電話號碼以及其他重要的用戶居住定位信息和GPS數據。在分析的155066個Firebase應用程式中,11730個公開了資料庫,其中9014個甚至包括修改權限,除了查看和下載數據外,還允許攻擊者添加、修改或刪除伺服器上的數據。
同時,專家發現基於遊戲的應用程式比其他類別的應用程式更容易受到此類攻擊。
對於此次事件,Google表示, Firebase提供了許多功能,可幫助我們的開發人員安全地配置其部署。目前,Google已經向開發人員發送了有關其部署中可能存在的錯誤配置的通知,並提供了糾正建議。同時,Firebase也正在與受影響的其他開發人員和用戶取得聯繫,以幫助他們降低數據泄露帶來的威脅。