Перейти к содержанию
Авторизация  
Adik

Неправильная конфигурация Firebase позволяет похищать пользовательские данные

Рекомендуемые сообщения

Более 4 тыс. приложений, использующих Google Firebase, не защищены должным образом.

Более 4 тыс. Android-приложений, которые используют облачные базы данных Google Firebase, непреднамеренно раскрывают конфиденциальную информацию о своих пользователях, включая адреса электронной почты, логины, пароли, номера телефонов, полные имена, сообщения чата и данные о местоположении.

Специалист Боб Дьяченко (Bob Diachenko) из Security Discovery совместно с Comparitech выяснил это, проанализировав более 515 тыс. Android-приложений.

«4,8% мобильных приложений в Google Play Store, использующих Firebase для хранения пользовательских данных, не защищены должным образом, позволяя потенциальному злоумышленнику получить доступ к базам данных, содержащим личную информацию пользователей, токены доступа и другие незащищенные данные без пароля или какой-либо другой аутентификации», — пояснили эксперты

Firebase является популярной платформой для разработки мобильных приложений, предлагающей разработчикам различные инструменты для создания программ, безопасного хранения данных, исправления проблем и взаимодействия с пользователями посредством функции обмена сообщениями.

По словам исследователей, поскольку Firebase является кроссплатформенным инструментом, неправильная конфигурация может также затрагивать iOS- и web-приложения.

Полное содержимое базы данных, охватывающее 4282 приложения, включает более 7 млн адресов электронной почты, 4,4 млн логинов, 1 млн паролей, 5,3 млн телефонных номеров, 18,3 млн полных имен, 6,8 млн сообщений чата, 6,2 млн данных GPS, 156 тыс. IP-адресов и 560 тыс. реальных адресов.

Эксперты в ходе анализа также обнаружили 9 тыс. приложений с разрешениями на запись, потенциально позволяющих злоумышленнику внедрить вредоносные данные, повредить базу данных и даже установить вредоносное ПО.

Некорректная конфигурация Firebase позволяет злоумышленникам легко находить и похищать данные. Просто добавив «.json» в конец URL-адреса Firebase, злоумышленник может просмотреть и загрузить содержимое уязвимых баз данных. Хотя компания Google еще в 2019 году удалила уязвимые URL-адреса базы данных из результатов поиска, они все еще индексируются другими поисковыми системами, такими как Bing.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

×