正在阅读：Android应用泄露用户数据Firebase数据库不安全Android应用泄露用户数据Firebase数据库不安全

　　【PConline资讯】6月30日消息，据国外媒体报道，安全研究人员表示，大约2200个不安全的Firebase数据库，导致3000多个iOS和Android应用程序泄露用户数据，泄露了超过1亿条记录，包括文本密码、健康信息、GPS定位数据等。

　　据移动应用安全公司Appthority发布的最新报告《2018年第二季度企业移动威胁报告》称，该问题由一种被称为“HospitalGown脆弱性”的新变体引起。HospitalGown由Appthority移动安全小组（AppthorityMobileThreatTeam）于2017年确定。

　　Appthority报告说，当应用程序开发人员选择不要求GoogleFirebase云数据库的身份验证时，问题就出现了。

　　Appthority发现，使用Firebase数据库的1275个IOS应用程序中，有600个是易受攻击。总的来说，超过3000个应用程序泄露了2271个配置错误的数据库中的数据。泄露的数据中有260万个文本密码和用户ID，超过400万个被保护的健康信息记录，5万个财务记录。

　　“为了适当地保护数据，开发人员需要在所有数据库表和行上具体实现用户身份验证，这在实践中很少发生。”Appthority在这份报告中写道，“此外，攻击者不需要花费太多的精力就能找到开放的Firebase数据库，并获得数百万的私人移动数据应用记录。”

　　Firebase是谷歌的一款产品，它包含创建移动应用程序的后端工具。许多Android开发者都在使用它，一些iOS应用程序也依赖该服务来存储和分析数据。Appthority对270万个iOS和Android应用程序进行了评估，确定2.8502万个移动应用程序——2.7227万个Android移动应用程序和1275个IOS移动应用程序——将数据存储在Firebase后端。

　　Appthority还发现，随着Firebase使用量的增加，易受攻击应用的数量也在增加。2017年，在使用Firebase数据库的5.3010个应用程序中，有4578个(约占9%)是易受攻击的。　　 

　　Appthority建议，开发人员要更有效地保护自己的数据。

　　“对第三方开发的内部应用程序、内部开发的应用程序和为员工可获得的公共应用程序，你们需要进行彻底的安全检查，”Appthority在这份报告中写道，“如果没有针对应用程序威胁和后端漏洞的自动化MTD解决方案，如Appthority移动威胁保护（AppthorityMobileThreatProtection），你们可能很难在EMM发布的企业和公共应用程序中发现这种威胁存在。”

　　谷歌已经收到了这个问题的通知，并提供了一个受影响的应用程序和服务器的列表。