✔Более 113 гигабайт данных сливают приложения для iOS и Android через базы Firebase - «Новости»

26 июня 2018 1 019 Новости 0

Начиная с января 2018 года аналитики Appthority сканировали мобильные приложения, использующие в работе Firebase, и изучали, как те сообщаются с доменами Firebase. Особое внимание исследователи уделяли решениями, которые используют JSON URL, что в случае прямого соединения позволяет неавторизованной третьей стороне просматривать информацию приложения.

В общей сложности специалистам просканировали 2,7 млн приложений для Android и iOS и выявили среди них 28 502 продукта (27 227 приложений для Android и 1275 для iOS), которые обращаются к Firebase и используют этот бэкэнд. Из них 3046 приложений (2446 для Android и 600 для iOS) хранили данные внутри 2271 неправильно настроенной БД Firebase, позволяя любому желающему просматривать их содержимое.

Фактически уязвимыми оказались более 10% БД Firebase. Общий объем утечек составил 113 гигабайт данных:

2,6 млн паролей и user ID в формате простого текста;

4+ млн закрытых медицинских данных (сообщения из чатов и детали рецептов);

25 млн записей с GPS-координатами;

50 000 записей о различных финансовых операциях, включая банковские, платежные и криптовалютные транзакции;

4,5+ млн пользовательских токенов Facebook, LinkedIn, Firebase и из корпоративных хранилищ данных.

Специалисты Appthority предупреждают, что только «дырявые» приложения для Android были загружены из Google Play Store более 620 000 000 раз, то есть среди изученных продуктов были и очень популярные. Специалисты не публикуют названия всех проблемных продуктов, но сообщают, что утечки данных представляли опасность для банков, телекомов, служб доставки, каршеринговых компаний, отелей и образовательных учреждений на территории США, Европы, Аргентины, Бразилии, Сингапура, Индии, Китая, Новой Зеландии, Тайваня и так далее. Хуже того, около 40% уязвимых приложений были так или иначе связаны с бизнесом, что могло привести к утечке корпоративных приватных ключей, учетных данных, закрытой финансовой информации.

Еще до публикации официального отчета эксперты уведомили о результатах проведенного анализа компанию Google, а представители софтверного гиганта, в свою очередь, предупредили о проблемах владельцев уязвимых приложений и БД Firebase.

Платформа Firebase, с 2014 года принадлежащая компании Google, предлагает разработчикам мобильных приложений бэкэнд как услугу и позволяет хранить и синхронизировать данные между несколькими клиентами. Firebase поддерживает особенности интеграции с приложениями для операционных систем Android и iOS, реализовано API для приложений на jаvascript, Java, Objective-C и Node.js, также возможно работать напрямую с базой данных REST из ряда jаvascript-фреймворков, включая AngularJS, React, Ember.js и Backbone.js. Также предусмотрено API для шифрования данных.

Источник новости - google.com

Аналитики компании Appthority подсчитали, что из-за неправильной конфигурации БД Firebase тысячи мобильных приложений допускают утечки разнообразных данных. Исследователи обнаружили в открытом доступе более 100 млн записей, в том числе, пароли, user ID, геолокационные данные и даже информацию о финансовых и криптовалютных операциях. Начиная с января 2018 года аналитики Appthority сканировали мобильные приложения, использующие в работе Firebase, и изучали, как те сообщаются с доменами Firebase. Особое внимание исследователи уделяли решениями, которые используют JSON URL, что в случае прямого соединения позволяет неавторизованной третьей стороне просматривать информацию приложения. В общей сложности специалистам просканировали 2,7 млн приложений для Android и iOS и выявили среди них 28 502 продукта (27 227 приложений для Android и 1275 для iOS), которые обращаются к Firebase и используют этот бэкэнд. Из них 3046 приложений (2446 для Android и 600 для iOS) хранили данные внутри 2271 неправильно настроенной БД Firebase, позволяя любому желающему просматривать их содержимое. Фактически уязвимыми оказались более 10% БД Firebase. Общий объем утечек составил 113 гигабайт данных: 2,6 млн паролей и user ID в формате простого текста; 4 млн закрытых медицинских данных (сообщения из чатов и детали рецептов); 25 млн записей с GPS-координатами; 50 000 записей о различных финансовых операциях, включая банковские, платежные и криптовалютные транзакции; 4,5 млн пользовательских токенов Facebook, LinkedIn, Firebase и из корпоративных хранилищ данных. Специалисты Appthority предупреждают, что только «дырявые» приложения для Android были загружены из Google Play Store более 620 000 000 раз, то есть среди изученных продуктов были и очень популярные. Специалисты не публикуют названия всех проблемных продуктов, но сообщают, что утечки данных представляли опасность для банков, телекомов, служб доставки, каршеринговых компаний, отелей и образовательных учреждений на территории США, Европы, Аргентины, Бразилии, Сингапура, Индии, Китая, Новой Зеландии, Тайваня и так далее. Хуже того, около 40% уязвимых приложений были так или иначе связаны с бизнесом, что могло привести к утечке корпоративных приватных ключей, учетных данных, закрытой финансовой информации. Еще до публикации официального отчета эксперты уведомили о результатах проведенного анализа компанию Google, а представители софтверного гиганта, в свою очередь, предупредили о проблемах владельцев уязвимых приложений и БД Firebase. Платформа Firebase, с 2014 года принадлежащая компании Google, предлагает разработчикам мобильных приложений бэкэнд как услугу и позволяет хранить и синхронизировать данные между несколькими клиентами. Firebase поддерживает особенности интеграции с приложениями для операционных систем Android и iOS, реализовано API для приложений на jаvascript, Java, Objective-C и Node.js, также возможно работать напрямую с базой данных REST из ряда jаvascript-фреймворков, включая AngularJS, React, Ember.js и Backbone.js. Также предусмотрено API для шифрования данных. Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.