بیش از ۴۰۰۰ برنامه اندرویدی که از پایگاه داده های Firebase تحت میزبانی Google cloud استفاده می کنند، “نا آگاهانه” اطلاعات حساسی در مورد کاربران خود از جمله آدرس ایمیل، نام کاربری، گذرواژه ها، شماره تلفن، پیام های چت و اطلاعات مکانی را فاش می کنند.
این تحقیق که توسط Bob Diachenko از Security Discovery با همکاری Comparitech انجام شده است، نتیجه آنالیز ۱۵،۷۳۵ برنامه اندرویدی است که حدود ۱۸ درصد از کل برنامه های موجود در فروشگاه Google Play را تشکیل می دهد. Comparitech گفت: “۴.۸ درصد از برنامه های تلفن همراه که از Google Firebase برای ذخیره داده های کاربران استفاده می کنند، امنیت کافی ندارند و به هر کسی امکان دسترسی به بانکهای اطلاعاتی حاوی اطلاعات شخصی کاربران، توکن های دسترسی و سایر داده ها را بدون درخواست گذرواژه یا هرگونه تأیید اعتبار دیگری می دهند.
Firebase در سال ۲۰۱۴ توسط Google به وجود آمد و یک پلتفرم توسعه نرم افزار موبایل است که ابزارهای متنوعی را برای کمک به توسعه دهندگان برنامه های شخص ثالث در ساخت برنامه ها، ذخیره اطلاعات و فایل های برنامه، رفع مشکلات و حتی ایجاد سرگرمی از طریق امکانات پیام رسانی درون برنامه ای ارائه می دهد.
Comparitech با بیان اینکه برنامه های آسیب پذیر اغلب از دسته بندی بازی ها، آموزشی ، سرگرمی و تجاری بودند، افزود: این برنامه ها نزدیک ۴.۲۲ میلیارد بار توسط کاربران اندرویدی نصب شده اند، احتمال زیادی می رود که حریم خصوصی هر کاربر اندرویدی، حداقل با یکی از اپ ها به خطر افتاده باشد. با توجه به اینکه Firebase یک ابزار کراس پلتفرم است، داشتن تنظیمات نادرست به احتمال زیاد بر برنامه های iOS و وب نیز تأثیر خواهد گذاشت. در بانک اطلاعاتی Firebase که شامل این ۴۲۰۰ برنامه لو رفته است، موارد زیر وجود دارند:
- آدرس های ایمیل: ۷،۰۰۰،۰۰۰+
- نام کاربری: ۴،۴۰۰،۰۰۰+
- گذرواژهها: ۱،۰۰۰،۰۰۰+
- شماره تلفن: ۵،۳۰۰،۰۰۰+
- نام کامل: ۱۸،۳۰۰،۰۰۰+
- پیام های گپ: ۶،۸۰۰،۰۰۰+
- داده های GPS:،۲۰۰،۰۰۰،۶+
- آدرس های IP:156،۰۰۰+
- آدرس خیابان: ۵۶۰،۰۰۰+
Diachenko پایگاه داده های افشا شده Firebase را که از REST API برای دسترسی به داده های محافظت نشده استفاده می کنند و با فرمت JSON بازیابی می شوند، با افزودن ساده “/.json” به URL پایگاه داده (به عنوان مثال “https: //~project_id~.firebaseio.com/.json”) پیدا کرده است. گذشته از ۱۵۵.۰۶۶ برنامه دارای پایگاه داده های افشا شده، محققان ۹۰۱۴ برنامه با مجوز نوشتن پیدا کردند که به یک مهاجم امکان تزریق داده های مخرب را می دهد که باعث نابودی کل پایگاه داده یا پخش شدن بدافزار می شود. مسئله پیچیده تر ایندکس کردن URL های پایگاه داده Firebase توسط موتورهای جستجو مانند Bing است که اطلاعات طبقه بندی شده برنامه های آسیب پذیر را برای هر کس در اینترنت در معرض دید قرار می دهد. پس از اینکه گوگل در تاریخ ۲۲ آوریل از این مسئله اطلاع یافت، اعلام کرد که در تلاش است تا مشکلات را حل کنند. این اولین بار نیست که پایگاه داده های Firebase اطلاعات شخصی کاربران را فاش می کنند. محققان شرکت امنیتی موبایل Appthority دو سال پیش یک مورد مشابه را نیز گزارش کرده بودند که باعث افشای ۱۰۰ میلیون داده شده بود.
دسترسی به دیتابیس بدون درخواست هیچگونه تأیید هویتی، یک موضوع بسیار هیجان انگیز برای مهاجمان است. بنابراین به توسعه دهندگان نرم افزار ها توصیه می شود که برای اطمینان از امنیت داده ها و جلوگیری از دسترسی غیرمجاز، از قوانین پایگاه داده Firebase پیروی کنند و دیتابیس های امنی ایجاد کنند و همچنین از کاربران خواسته شده است که فقط از برنامه های قابل اعتماد استفاده کنند و درمورد اطلاعاتی که در یک برنامه به اشتراک می گذارند، محتاط تر باشند.
Leave a Reply