Более 113 гигабайт данных сливают приложения для iOS и Android через базы Firebase - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Более 113 гигабайт данных сливают приложения для iOS и Android через базы Firebase - «Новости»

Аналитики компании Appthority подсчитали, что из-за неправильной конфигурации БД Firebase тысячи мобильных приложений допускают утечки разнообразных данных. Исследователи обнаружили в открытом доступе более 100 млн записей, в том числе, пароли, user ID, геолокационные данные и даже информацию о финансовых и криптовалютных операциях.


Начиная с января 2018 года аналитики Appthority сканировали мобильные приложения, использующие в работе Firebase, и изучали, как те сообщаются с доменами Firebase. Особое внимание исследователи уделяли решениями, которые используют JSON URL, что в случае прямого соединения позволяет неавторизованной третьей стороне просматривать информацию приложения.


В общей сложности специалистам просканировали 2,7 млн приложений для Android и iOS и выявили среди них 28 502 продукта (27 227 приложений для Android и 1275 для iOS), которые обращаются к Firebase и используют этот бэкэнд. Из них 3046 приложений (2446 для Android и 600 для iOS) хранили данные внутри 2271 неправильно настроенной БД Firebase, позволяя любому желающему просматривать их содержимое.





Фактически уязвимыми оказались более 10% БД Firebase. Общий объем утечек составил 113 гигабайт данных:


  • 2,6 млн паролей и user ID в формате простого текста;

  • 4+ млн закрытых медицинских данных (сообщения из чатов и детали рецептов);

  • 25 млн записей с GPS-координатами;

  • 50 000 записей о различных финансовых операциях, включая банковские, платежные и криптовалютные транзакции;

  • 4,5+ млн пользовательских токенов Facebook, LinkedIn, Firebase и из корпоративных хранилищ данных.

Специалисты Appthority предупреждают, что только «дырявые» приложения для Android были загружены из Google Play Store более 620 000 000 раз, то есть среди изученных продуктов были и очень популярные. Специалисты не публикуют названия всех проблемных продуктов, но сообщают, что утечки данных представляли опасность для банков, телекомов, служб доставки, каршеринговых компаний, отелей и образовательных учреждений на территории США, Европы, Аргентины, Бразилии, Сингапура, Индии, Китая, Новой Зеландии, Тайваня и так далее. Хуже того, около 40% уязвимых  приложений были так или иначе связаны с бизнесом, что могло привести к утечке корпоративных приватных ключей, учетных данных, закрытой финансовой информации.


Еще до публикации официального отчета эксперты уведомили о результатах проведенного анализа компанию Google, а представители софтверного гиганта, в свою очередь, предупредили о проблемах владельцев уязвимых приложений и БД Firebase.



Платформа Firebase, с 2014 года принадлежащая компании Google, предлагает разработчикам мобильных приложений бэкэнд как услугу и позволяет хранить и синхронизировать данные между несколькими клиентами. Firebase поддерживает особенности интеграции с приложениями для операционных систем Android и iOS, реализовано API для приложений на jаvascript, Java, Objective-C и Node.js, также возможно работать напрямую с базой данных REST из ряда jаvascript-фреймворков, включая AngularJS, React, Ember.js и Backbone.js. Также предусмотрено API для шифрования данных.




Источник новостиgoogle.com

Аналитики компании Appthority подсчитали, что из-за неправильной конфигурации БД Firebase тысячи мобильных приложений допускают утечки разнообразных данных. Исследователи обнаружили в открытом доступе более 100 млн записей, в том числе, пароли, user ID, геолокационные данные и даже информацию о финансовых и криптовалютных операциях. Начиная с января 2018 года аналитики Appthority сканировали мобильные приложения, использующие в работе Firebase, и изучали, как те сообщаются с доменами Firebase. Особое внимание исследователи уделяли решениями, которые используют JSON URL, что в случае прямого соединения позволяет неавторизованной третьей стороне просматривать информацию приложения. В общей сложности специалистам просканировали 2,7 млн приложений для Android и iOS и выявили среди них 28 502 продукта (27 227 приложений для Android и 1275 для iOS), которые обращаются к Firebase и используют этот бэкэнд. Из них 3046 приложений (2446 для Android и 600 для iOS) хранили данные внутри 2271 неправильно настроенной БД Firebase, позволяя любому желающему просматривать их содержимое. Фактически уязвимыми оказались более 10% БД Firebase. Общий объем утечек составил 113 гигабайт данных: 2,6 млн паролей и user ID в формате простого текста; 4 млн закрытых медицинских данных (сообщения из чатов и детали рецептов); 25 млн записей с GPS-координатами; 50 000 записей о различных финансовых операциях, включая банковские, платежные и криптовалютные транзакции; 4,5 млн пользовательских токенов Facebook, LinkedIn, Firebase и из корпоративных хранилищ данных. Специалисты Appthority предупреждают, что только «дырявые» приложения для Android были загружены из Google Play Store более 620 000 000 раз, то есть среди изученных продуктов были и очень популярные. Специалисты не публикуют названия всех проблемных продуктов, но сообщают, что утечки данных представляли опасность для банков, телекомов, служб доставки, каршеринговых компаний, отелей и образовательных учреждений на территории США, Европы, Аргентины, Бразилии, Сингапура, Индии, Китая, Новой Зеландии, Тайваня и так далее. Хуже того, около 40% уязвимых приложений были так или иначе связаны с бизнесом, что могло привести к утечке корпоративных приватных ключей, учетных данных, закрытой финансовой информации. Еще до публикации официального отчета эксперты уведомили о результатах проведенного анализа компанию Google, а представители софтверного гиганта, в свою очередь, предупредили о проблемах владельцев уязвимых приложений и БД Firebase. Платформа Firebase, с 2014 года принадлежащая компании Google, предлагает разработчикам мобильных приложений бэкэнд как услугу и позволяет хранить и синхронизировать данные между несколькими клиентами. Firebase поддерживает особенности интеграции с приложениями для операционных систем Android и iOS, реализовано API для приложений на j

0

Смотрите также

А что там на главной? )))



Комментарии )))