افشا شدن پایگاه داده هزاران برنامه موبایل به میزبانی Firebase

0
470

محققان امنیتی موبایل، پایگاههای اطلاعاتی Firebase را از هزاران برنامه iOS و اندروید کشف کرده اند که بیش از ۱۰۰ میلیون رکورد داده از جمله کلمه عبور واضح، شناسه کاربر، محل سکونت، و در برخی موارد سوابق مالی مانند معاملات بانکی و تراکنش های رمزارز ها را شامل میشود.

سرویس Firebase گوگل یکی از محبوب ترین پلتفرم های توسعه پایدار برای برنامه های کاربردی تلفن همراه و وب است که به توسعه دهندگان پایگاه داده ابری را ارائه میدهد که داده ها را در قالب JSON ذخیره میکند و در لحظه با تمام مشتری های متصل شده اطلاعات را همگام سازی می کند.

محققان شرکت امنیتی موبایل Appthority ، کشف کرده اند که بسیاری از توسعه دهندگان برنامه نتوانسته اند به طور مناسب با استفاده از فایروال ها و احراز هویت، پایگاه داده های خود را امن کنند و صدها گیگابایت اطلاعات حساس از مشتریان خود را به طور عمومی برای هرکسی در دسترس قرار داده اند.

محققان بیش از ۲.۷ میلیون برنامه را اسکن کرده اند و دریافتند که بیش از ۳۰۰۰ برنامه – ۲۴۴۶ اندروید و ۶۰۰ iOS – که ۱۱۳ گیگابایت نشت داده میباشد.

برنامه های آسیب پذیر اندروید به تنهایی بیش از ۶۲۰ میلیون بار دانلود شده اند.

برنامه ها آسیب پذیر متعلق به چندین دسته از جمله ارتباطات تلفنی، رمزنگاری، مالی، خدمات پستی، موسسات آموزشی، هتل ها، بهره وری ، بهداشت، تناسب اندام، ابزار و… هستند.

محققین همچنین یک خلاصه از آنالیز داده هایی که از برنامه های آسیب پذیر دریافت کرده اند گزارش کرده اند.

  • ۶ میلیون کلمه عبور و نام کاربری
  • بیش از چهار میلیون رکورد اطلاعات پزشکی و نسخه های دارویی
  • ۲۵ میلیون موقعیت مکانی GPS
  • ۵۰ هزار رکورد مالی شامل تراکنش های بانکی، پرداخت و تراکنش های بیت کوین
  • بیش از ۴.۵ میلیون داده های کاربران مربوط به فیسبوک، لینکدین، Firebase

محققین ادعا میکنند که در وهله اول تمامی این ها اتفاق می افتد زیرا سرویس Google Firebase به طور پیشفرض کاربران را امن نمی کند و نیاز به توسعه دهندگان دارد تا به طورصریح احراز هویت کاربر را در تمام ردیف ها و جداول پایگاه داده پیاده سازی کند تا پایگاه داده های خود را از دسترسی غیر مجاز محافظت کنند.

محققان از قبل با گوگل ارتباط برقرار کرده اند و لیستی از تمام پایگاه های برنامه های آسیب پذیر ارائه کرده بودند و همچنین با چند نفر از توسعه دهنده ها تماس گرفتند و به آن ها کمک کردند تا این مشکل را حل کنند.