Неправильная конфигурация Firebase сделала уязвимыми более 4 тысяч Android-приложений13.05.2020 15:15

Эксперты по IT-безопасности обнаружили серьёзную уязвимость в платформе Google Firebase, предназначенной для упрощения разработки мобильных приложений. Из-за неправильной конфигурации продукта разработчики как минимум 4 тысяч Android-приложений случайно подвергли риску личные данные пользователей. Воспользовавшись уязвимостью, злоумышленники могут узнать чужие адреса электронной почты, логины и пароли, а также почитать сообщения из чатов.

Об уязвимости рассказала исследовательская группа Comparitech, возглавляемая специалистом Бобом Дьяченко (Bob Diachenko). Она проанализировала более 515 тысяч приложений из каталога Google Play и выяснила, что в 155 тысячах их них задействована платформа Firebase. Дальнейшее исследование показало, что в 4 тысячах случаев она была неправильно настроена, и многие данные пользователей приложений были легко доступны для злоумышленников.

Хакеры могут узнать URL-адреса баз данных Firebase через поисковую систему Bing, которая в отличие от Google до сих пор их индексирует. Добавив в конец любого адреса расширение .json, злоумышленники могут открыть себе возможность к просмотру и загрузке содержимого баз данных.

В базах данных 4282 приложений можно найти:

  • 7 миллионов адресов электронной почты;

  • 4,4 миллиона логинов;

  • 1 миллион паролей;

  • 5,3 миллиона телефонных номеров;

  • 18,3 миллиона полных имён;

  • 6,8 миллионов сообщений из чатов;

  • 6,2 миллиона данных о местоположении людей;

  • 156 тысяч IP-адресов;

  • 560 тысяч адресов мест проживания.

По словам исследователей, так как Google Firebase является кроссплатформенной платформой, в опасности также могут находиться данные пользователей iOS- и веб-приложений.

Разработчикам приложений рекомендуется настроить Firebase, следуя документации Google. Представители компании узнали об уязвимости 22 апреля и сообщили, что они регулярно предупреждают разработчиков о возможных ошибках в конфигурации Firebase. Более того, они всегда предлагают рекомендации по исправлению проблем и помогают особенно сильно уязвимым проектам.

Это не единственная новость за последнее время, в которой говорится о краже личных данных пользователей. Недавно хакерская группировка ShinyHunters взломала базы данных 10 компаний и начала продавать информацию о 73 миллионах пользователей за 18 000 долларов. 

© 3DNews