Неправильная конфигурация Firebase..

Неправильная конфигурация Firebase сделала уязвимыми более 4 тысяч Android-приложений

Эксперты по IT-безопасности обнаружили серьёзную уязвимость в платформе Google Firebase, предназначенной для упрощения разработки мобильных приложений. Из-за неправильной конфигурации продукта разработчики как минимум 4 тысяч Android-приложений случайно подвергли риску личные данные пользователей. Воспользовавшись уязвимостью, злоумышленники могут узнать чужие адреса электронной почты, логины и пароли, а также почитать сообщения из чатов.

nepravilnaya_konfiguraciya_firebase_sdelala_uyazvimymi_bolee_4_tysyach_androidprilozheniy_1.jpg

Об уязвимости рассказала исследовательская группа Comparitech, возглавляемая специалистом Бобом Дьяченко (Bob Diachenko). Она проанализировала более 515 тысяч приложений из каталога Google Play и выяснила, что в 155 тысячах их них задействована платформа Firebase. Дальнейшее исследование показало, что в 4 тысячах случаев она была неправильно настроена, и многие данные пользователей приложений были легко доступны для злоумышленников.

Хакеры могут узнать URL-адреса баз данных Firebase через поисковую систему Bing, которая в отличие от Google до сих пор их индексирует. Добавив в конец любого адреса расширение .json, злоумышленники могут открыть себе возможность к просмотру и загрузке содержимого баз данных.

В базах данных 4282 приложений можно найти:

  • 7 миллионов адресов электронной почты;

  • 4,4 миллиона логинов;

  • 1 миллион паролей;

  • 5,3 миллиона телефонных номеров;

  • 18,3 миллиона полных имён;

  • 6,8 миллионов сообщений из чатов;

  • 6,2 миллиона данных о местоположении людей;

  • 156 тысяч IP-адресов;

  • 560 тысяч адресов мест проживания.

По словам исследователей, так как Google Firebase является кроссплатформенной платформой, в опасности также могут находиться данные пользователей iOS- и веб-приложений.

Разработчикам приложений рекомендуется настроить Firebase, следуя документации Google. Представители компании узнали об уязвимости 22 апреля и сообщили, что они регулярно предупреждают разработчиков о возможных ошибках в конфигурации Firebase. Более того, они всегда предлагают рекомендации по исправлению проблем и помогают особенно сильно уязвимым проектам.

Это не единственная новость за последнее время, в которой говорится о краже личных данных пользователей. Недавно хакерская группировка ShinyHunters взломала базы данных 10 компаний и начала продавать информацию о 73 миллионах пользователей за 18 000 долларов.

Видео

Программное обеспечение

mvd_rossii_soobschilo_o_rezkom_roste_prestupleniy_v_sfere_it_default.jpg

МВД России сообщило о резком росте преступлен...

  • Июл 10, 2020
  • 257

По данным МВД России, опубликованным на сайте ведомства, за первое полугодие количество преступлений в сфере компьютерных технологий выросло по сравне...

Сети и коммуникации

prakticheskiy_kazhdyy_shestoy_avtomobil_v_rossii_imeet_setevoe_podklyuchenie_default.jpg

Практический каждый шестой автомобиль в Росси...

  • Июл 11, 2020
  • 91

Компания Jrsquo;son Partners Consulting опубликовала результаты исследования российского рынка межмашинных коммуникаций (M2M) и Интернета вещей (IoT...

Наверх