Аналитики компании Appthority подсчитали, что из-за неправильной конфигурации БД Firebase тысячи мобильных приложений допускают утечки разнообразных данных. Исследователи обнаружили в открытом доступе более 100 млн записей, в том числе, пароли, user ID, геолокационные данные и даже информацию о финансовых и криптовалютных операциях.

Начиная с января 2018 года аналитики Appthority сканировали мобильные приложения, использующие в работе Firebase, и изучали, как те сообщаются с доменами Firebase. Особое внимание исследователи уделяли решениями, которые используют JSON URL, что в случае прямого соединения позволяет неавторизованной третьей стороне просматривать информацию приложения.

В общей сложности специалистам просканировали 2,7 млн приложений для Android и iOS и выявили среди них 28 502 продукта (27 227 приложений для Android и 1275 для iOS), которые обращаются к Firebase и используют этот бэкэнд. Из них 3046 приложений (2446 для Android и 600 для iOS) хранили данные внутри 2271 неправильно настроенной БД Firebase, позволяя любому желающему просматривать их содержимое.

Фактически уязвимыми оказались более 10% БД Firebase. Общий объем утечек составил 113 гигабайт данных:

  • 2,6 млн паролей и user ID в формате простого текста;
  • 4+ млн закрытых медицинских данных (сообщения из чатов и детали рецептов);
  • 25 млн записей с GPS-координатами;
  • 50 000 записей о различных финансовых операциях, включая банковские, платежные и криптовалютные транзакции;
  • 4,5+ млн пользовательских токенов Facebook, LinkedIn, Firebase и из корпоративных хранилищ данных.

Специалисты Appthority предупреждают, что только «дырявые» приложения для Android были загружены из Google Play Store более 620 000 000 раз, то есть среди изученных продуктов были и очень популярные. Специалисты не публикуют названия всех проблемных продуктов, но сообщают, что утечки данных представляли опасность для банков, телекомов, служб доставки, каршеринговых компаний, отелей и образовательных учреждений на территории США, Европы, Аргентины, Бразилии, Сингапура, Индии, Китая, Новой Зеландии, Тайваня и так далее. Хуже того, около 40% уязвимых  приложений были так или иначе связаны с бизнесом, что могло привести к утечке корпоративных приватных ключей, учетных данных, закрытой финансовой информации.

Еще до публикации официального отчета эксперты уведомили о результатах проведенного анализа компанию Google, а представители софтверного гиганта, в свою очередь, предупредили о проблемах владельцев уязвимых приложений и БД Firebase.

Платформа Firebase, с 2014 года принадлежащая компании Google, предлагает разработчикам мобильных приложений бэкэнд как услугу и позволяет хранить и синхронизировать данные между несколькими клиентами. Firebase поддерживает особенности интеграции с приложениями для операционных систем Android и iOS, реализовано API для приложений на JavaScript, Java, Objective-C и Node.js, также возможно работать напрямую с базой данных REST из ряда JavaScript-фреймворков, включая AngularJS, React, Ember.js и Backbone.js. Также предусмотрено API для шифрования данных.

Оставить мнение