安全研究人员发现,数千个通过谷歌发布的Android应用程序由于Firebase的错误配置而泄漏敏感信息。
Firebase于2011年推出,是谷歌在2014年收购的一个移动应用开发平台。它可以用于身份验证、托管、云存储、分析、消息传递等。
据统计,Google Play中大约30%的应用程序使用Google Firebase存储用户数据,但其中许多应用程序的安全性不高。总的来说,4.8%使用Firebase的移动应用程序被认为泄露了个人信息、访问令牌和其他类型的数据。
Comparitech的研究人员在谷歌Play中查看了515735个Android应用程序后,发现了4282个泄露敏感信息的应用程序。
“如果我们推断这些数字,估计谷歌Play上所有Android应用程序中有0.83%通过Firebase泄露敏感数据。研究人员指出,总共大约有24000个应用程序。
已识别的易受攻击应用程序的下载总数超过42.2亿。然而,这些数据只包括Google Play的下载量,而不包括第三方应用程序市场。
通过这些错误配置暴露的数据包括电子邮件地址(Comparitech识别超过7000000)、用户名(超过4400000)、密码(超过1000000)、电话号码(超过5300000)、全名(超过18300000)、聊天信息(6800000+)、GPS数据(6200000+)、IP地址(156000+),街道地址(560000+)等等。
研究人员还说,信用卡号码和政府发放的身份证照片也被曝光。
“在分析的155066个Firebase应用程序中,11730个公开了数据库。其中9014个甚至包括写权限,除了查看和下载数据外,还允许攻击者添加、修改或删除服务器上的数据。
作为一个跨平台的工具,Firebase被用于许多操作系统和平台,而不仅仅是移动设备,而且被认为会影响更多的应用程序。
谷歌在4月下旬接到有关调查结果的通知,并表示正在与受影响的开发者联系,帮助他们解决发现的问题。
2018年,研究人员发现超过3000个Android和iOS应用程序从Firebase数据库泄漏了1亿条记录(113gb的数据)
对于此次事件,Google表示, Firebase提供了许多功能,可帮助我们的开发人员安全地配置其部署。目前,Google已经向开发人员发送了有关其部署中可能存在的错误配置的通知,并提供了纠正建议。同时,Firebase也正在与受影响的其他开发人员和用户取得联系,以帮助他们降低数据泄露带来的威胁。
鉴于还是建议大家尽量留意开发者的信誉是否良好,且不要通过不靠谱的平台去下载软件。而广大代码开发者为了自己的利益着想必须为自己辛苦编写的代码冠以“身份证”— 代码签名证书。
代码签名证书是数字证书的一种,是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以减少软件下载时弹出的安全警告,保证代码完整性和不被恶意篡改,使厂商信息对下载用户公开可见,从而建立良好的软件品牌信誉度。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
领取优惠
提交成功!