信息來源:secdoctor
移動應用安全提供商 Appthority 上周指出,由于配置不當�����,導致使用 Firebase 服務的 3,046 個移動應用暴露了計劃用戶信息���,共計 113 GB,并且包括純文本用戶在內的超過 1 億個可公開訪問的數據����。 帳號和密碼以及 GPS 位置信息����。
Firebase 是網絡和移動應用程序的開發(fā)平臺��。 它提供了云消息傳遞��,通知��,數據庫�����,分析功能以及許多后端 API��。 它于 2014 年被谷歌收購����,并受到眾多Android開發(fā)者的歡迎。 也是最受歡迎的移動應用程序數據存儲平臺之一���。
在查看超過 270 萬移動應用程序后的 Appthority 中�����,發(fā)現(xiàn) 28,000 個移動應用程序將數據存儲在 Firebase 的后端��。 其中�,3,046 個程序將 2,271 個數據錯誤地配置為 Firebase 數據庫����,同時允許第三方公開查看。 其中大多數是 Android 程序�,占用了 2,446 個,另外有 600 個 iOS 程序����。
所有泄露的程序數據量為 113GB,包含 260 萬個明文密碼和用戶賬號��,400 萬條聊天記錄���,2500 萬個 GPS 位置信息以及 50,000 個金融交易信息��。 Facebook / LinkedIn / Firebase 用戶憑證為 450 萬筆�����。
Appthority 指出��,2,446 個 Android 程序在 Google Play 上的下載量超過 6.2 億次�����。 它們分布在不同的類別中���,從工具��,生產力�,健身�����,通信�����,財務和業(yè)務應用程序�。 62% 的公司至少使用其中一項計劃。
雖然這主要是因為開發(fā)者沒有驗證訪問權限�����,以至于任何人都可以訪問屬于 Firebase 數據庫的配置故障,但 Appthority 正在指向 Google��,認為 Firebase 未在默認情況下保護好用戶數據���,而且還缺乏可以加密用戶數據的第三方工具。
