Android应用泄露用户数据Firebase数据库不安全

2018-07-03 17:25 出处:其他 作者:PConline 责任编辑:wuyiying1

  【PConline资讯】6月30日消息,据国外媒体报道,安全研究人员表示,大约2200个不安全的Firebase数据库,导致3000多个iOS和Android应用程序泄露用户数据,泄露了超过1亿条记录,包括文本密码、健康信息、GPS定位数据等。

  据移动应用安全公司Appthority发布的最新报告《2018年第二季度企业移动威胁报告》称,该问题由一种被称为“HospitalGown脆弱性”的新变体引起。HospitalGown由Appthority移动安全小组(AppthorityMobileThreatTeam)于2017年确定。

  Appthority报告说,当应用程序开发人员选择不要求GoogleFirebase云数据库的身份验证时,问题就出现了。

  Appthority发现,使用Firebase数据库的1275个IOS应用程序中,有600个是易受攻击。总的来说,超过3000个应用程序泄露了2271个配置错误的数据库中的数据。泄露的数据中有260万个文本密码和用户ID,超过400万个被保护的健康信息记录,5万个财务记录。

  “为了适当地保护数据,开发人员需要在所有数据库表和行上具体实现用户身份验证,这在实践中很少发生。”Appthority在这份报告中写道,“此外,攻击者不需要花费太多的精力就能找到开放的Firebase数据库,并获得数百万的私人移动数据应用记录。”

  Firebase是谷歌的一款产品,它包含创建移动应用程序的后端工具。许多Android开发者都在使用它,一些iOS应用程序也依赖该服务来存储和分析数据。Appthority对270万个iOS和Android应用程序进行了评估,确定2.8502万个移动应用程序——2.7227万个Android移动应用程序和1275个IOS移动应用程序——将数据存储在Firebase后端。

  Appthority还发现,随着Firebase使用量的增加,易受攻击应用的数量也在增加。2017年,在使用Firebase数据库的5.3010个应用程序中,有4578个(约占9%)是易受攻击的。   

  Appthority建议,开发人员要更有效地保护自己的数据。

  “对第三方开发的内部应用程序、内部开发的应用程序和为员工可获得的公共应用程序,你们需要进行彻底的安全检查,”Appthority在这份报告中写道,“如果没有针对应用程序威胁和后端漏洞的自动化MTD解决方案,如Appthority移动威胁保护(AppthorityMobileThreatProtection),你们可能很难在EMM发布的企业和公共应用程序中发现这种威胁存在。”

  谷歌已经收到了这个问题的通知,并提供了一个受影响的应用程序和服务器的列表。