几维资讯> 行业资讯

由于Firebase配置错误,成千上万的Android应用程序泄漏数据

几维安全 2020-05-21 14:33:58  314
分享到:

Comparitech安全研究人员发现,由于Firebase配置错误,通过Google Play分发的数千个Android应用程序泄漏了敏感信息。  

Firebase于2011年推出,是Google在2014年收购的移动应用程序开发平台。它可用于身份验证,托管,云存储,分析,消息传递等。  

据信,Google Play中大约有30%的应用程序正在使用Google Firebase来存储用户数据,但是其中许多没有得到适当的保护。总体而言,使用Firebase的所有移动应用程序中有4.8%被认为泄漏了个人信息,访问令牌和其他类型的数据。  

在查看Google Play中的515,735个Android应用程序后,Comparitech的研究人员发现4,282个应用程序泄漏了敏感信息。  

“如果我们将这些数字推算出来,则估计Google Play上所有Android应用的0.83%通过Firebase泄漏了敏感数据。研究人员指出,总共大约有24,000个应用程序。  

识别出的易受攻击的应用程序的总下载量超过42.2亿。但是,这些数字仅包括来自Google Play的下载计数,而不包括第三方应用程序市场。  

通过这些错误配置暴露的数据包括电子邮件地址(Comparitech标识为超过7,000,000),用户名(超过4,400,000),密码(超过1,000,000),电话号码(超过5,300,000),全名(超过18,300,000),聊天消息(6,800,000) +),GPS数据(6,200,000 +),IP地址(156,000+)和街道地址(560,000+)等。  

研究人员还说,信用卡号和政府签发的身份证照片也被曝光。  

“在分析的155,066个Firebase应用程序中,有11,730个具有公开暴露的数据库。其中9,014个甚至包含些许可权,这将使攻击者除了查看和下载数据外,还可以在服务器上添加,修改或删除数据,” Comparitech说。  

Firebase是一种跨平台工具,不仅用于移动设备,还用于许多操作系统和平台上,并且所识别的错误配置被认为会影响大量应用程序。  

Google于4月下旬收到有关发现的警告,并表示将与受影响的开发人员联系,以帮助他们解决已发现的问题。  

但是,这个问题并不新鲜。在2018年,Appthority确定了3000多个Android和iOS应用程序,这些应用程序从Firebase数据库泄漏了1亿条记录(113 GB数据)。  

分享到:



《安卓应用加密》 《Unity3D手游加密》 《源代码加密》 《移动端的KiwiVM虚拟机》