由于Google Firebase的严重错误配置,导致4000个Android应用程序的用户数据泄漏。据报道,Firebase是一个移动和Web应用程序,最初于2011年开发,随后于2014年被Google收购。Firebase提供了各种服务器分析,包括身份验证,数据库,配置,文件存储和推送消息。 ,并且所有这些服务都托管在云中,并且用户可以轻松使用。当前,在Google Play商店中,超过30%的应用程序正在使用Firebase服务。
来自Comparitech的安全研究人员发现,使用Google Firebase存储数据的移动应用程序中有4.8%的安全性不正确。 Firebase的配置错误使任何人都可以访问包含用户个人信息,访问令牌和其他信息的数据库,而无需输入密码或进行任何其他身份验证。根据研究人员的统计,发现错误配置的应用程序已被Android用户安装了42.2亿次,并且同时使用这些应用程序可能会对用户隐私带来巨大风险。
以下是研究人员发现的一些公共数据,包括700万个电子邮件地址,440万个用户名信息,100万个帐户密码信息,530万个用户电话号码以及其他重要的用户居住位置信息和GPS数据。在分析的1,55066个Firebase应用程序中,有11,730个已发布数据库,其中9014个甚至包含修改权限。除了查看和下载数据之外,它们还允许攻击者在服务器上添加,修改或删除数据。
对于此事件,Google表示Firebase提供了许多功能,可以帮助我们的开发人员安全地配置其部署。目前,Google已向开发人员发送有关其部署中可能存在错误配置的通知,并提供了纠正建议。同时,Firebase还与其他受影响的开发人员和用户联系,以帮助他们减少数据泄露带来的威胁。