Более 4000 приложений для Android раскрывают данные пользователей через Firebase Google

Более 4000 приложений для Android, использующих облачные базы данных Google Firebase, неумышленно раскрывают конфиденциальную информацию о своих пользователях, включая адреса электронной почты, имена пользователей, пароли, номера телефонов, полные имена, сообщения чата и данные о местоположении.

Фото: Pixabay

Расследование, проведенное Бобом Дьяченко из Security Discovery в партнерстве с Comparitech, является результатом анализа 15 735 приложений Android, которые составляют около 18% всех приложений в магазине Google Play.

«4,8 процента мобильных приложений, использующих Google Firebase для хранения пользовательских данных, не защищены должным образом, что позволяет любому получить доступ к базам данных, содержащим личную информацию пользователей, токены доступа и другие данные без пароля или какой-либо другой аутентификации», — сообщили в компании Comparitech.

Firebase - это популярная платформа для разработки мобильных приложений, которая предлагает различные инструменты, помогающие сторонним разработчикам создавать приложения, безопасно хранить данные и файлы приложений, исправлять проблемы и даже взаимодействовать с пользователями посредством обмена сообщениями в приложении. В 2014 году ее приобрела Google.

В Comparitech утверждают, что уязвимые приложения установили 4,22 миллиарда раз: «высока вероятность того, что конфиденциальность пользователя Android была нарушена хотя бы одним приложением».

Учитывая, что Firebase является кроссплатформенным инструментом, исследователи также предупреждают, что неправильная конфигурация может повлиять на iOS и веб-приложения.

Дьяченко нашел открытые базы данных используя REST API Firebase, который используется для доступа к данным, хранящимся в незащищенных экземплярах, извлеченных в формате JSON, просто добавив суффикс «/.json» к URL-адресу базы данных (например, «https: //~project_id~.firebaseio»). com / .json ").

Ранее Startpack сообщал, что хакеры начали использовать популярность сервисов видеокнференцсвязи на фоне пандемии коронавируса. Хакеры массово регистрируют домены, которые позволяют им создавать URL-адреса похожие на адреса Zoom, Microsoft Teams и Google Meet, а затем применяют их в фишинговых рассылках.