据国外媒体报道,安全研究人员表示,大约2200个不安全的Firebase数据库,导致3000多个iOS和Android应用程序泄露用户数据,泄露了超过1亿条记录,包括文本密码、健康信息、GPS定位数据等。
据移动应用安全公司Appthority发布的最新报告《2018年第二季度企业移动威胁报告》称,该问题由一种被称为“HospitalGown脆弱性”的新变体引起。HospitalGown由Appthority移动安全小组(Appthority Mobile Threat Team)于2017年确定。
Appthority报告说,当应用程序开发人员选择不要求Google Firebase云数据库的身份验证时,问题就出现了。
Appthority发现,使用Firebase数据库的1275个IOS应用程序中,有600个是易受攻击。总的来说,超过3000个应用程序泄露了2271个配置错误的数据库中的数据。泄露的数据中有260万个文本密码和用户ID,超过400万个被保护的健康信息记录,5万个财务记录。
“为了适当地保护数据,开发人员需要在所有数据库表和行上具体实现用户身份验证,这在实践中很少发生。”Appthority在这份报告中写道,“此外,攻击者不需要花费太多的精力就能找到开放的Firebase数据库,并获得数百万的私人移动数据应用记录。”
Firebase是谷歌的一款产品,它包含创建移动应用程序的后端工具。许多Android开发者都在使用它,一些iOS应用程序也依赖该服务来存储和分析数据。Appthority对270万个iOS和Android应用程序进行了评估,确定2.8502万个移动应用程序——2.7227万个Android移动应用程序和1275个IOS移动应用程序——将数据存储在Firebase后端。
Appthority还发现,随着Firebase使用量的增加,易受攻击应用的数量也在增加。2017年,在使用Firebase数据库的5.3010个应用程序中,有4578个(约占9%)是易受攻击的。
Appthority建议,开发人员要更有效地保护自己的数据。
“对第三方开发的内部应用程序、内部开发的应用程序和为员工可获得的公共应用程序,你们需要进行彻底的安全检查,”Appthority在这份报告中写道,“如果没有针对应用程序威胁和后端漏洞的自动化MTD解决方案,如Appthority移动威胁保护(Appthority Mobile Threat Protection),你们可能很难在EMM发布的企业和公共应用程序中发现这种威胁存在。”
谷歌已经收到了这个问题的通知,并提供了一个受影响的应用程序和服务器的列表。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
