Неправильная конфигурация Firebase позволяет похищать пользовательские данные

Более 4 тыс. Android-приложений, которые используют облачные базы данных Google Firebase, непреднамеренно раскрывают конфиденциальную информацию о своих пользователях, включая адреса электронной почты, логины, пароли, номера телефонов, полные имена, сообщения чата и данные о местоположении.

Специалист Боб Дьяченко (Bob Diachenko) из Security Discovery совместно с Comparitech выяснил это, проанализировав более 515 тыс. Android-приложений.

«4,8% мобильных приложений в Google Play Store, использующих Firebase для хранения пользовательских данных, не защищены должным образом, позволяя потенциальному злоумышленнику получить доступ к базам данных, содержащим личную информацию пользователей, токены доступа и другие незащищенные данные без пароля или какой-либо другой аутентификации», — пояснили эксперты

Firebase является популярной платформой для разработки мобильных приложений, предлагающей разработчикам различные инструменты для создания программ, безопасного хранения данных, исправления проблем и взаимодействия с пользователями посредством функции обмена сообщениями.

По словам исследователей, поскольку Firebase является кроссплатформенным инструментом, неправильная конфигурация может также затрагивать iOS- и web-приложения.

Полное содержимое базы данных, охватывающее 4282 приложения, включает более 7 млн адресов электронной почты, 4,4 млн логинов, 1 млн паролей, 5,3 млн телефонных номеров, 18,3 млн полных имен, 6,8 млн сообщений чата, 6,2 млн данных GPS, 156 тыс. IP-адресов и 560 тыс. реальных адресов.

Эксперты в ходе анализа также обнаружили 9 тыс. приложений с разрешениями на запись, потенциально позволяющих злоумышленнику внедрить вредоносные данные, повредить базу данных и даже установить вредоносное ПО.

Некорректная конфигурация Firebase позволяет злоумышленникам легко находить и похищать данные. Просто добавив «.json» в конец URL-адреса Firebase, злоумышленник может просмотреть и загрузить содержимое уязвимых баз данных. Хотя компания Google еще в 2019 году удалила уязвимые URL-адреса базы данных из результатов поиска, они все еще индексируются другими поисковыми системами, такими как Bing.