16 июля 2018

Appthority раскрыли данные об утечках персональных данных через Firebase

Firebase — сервис облачных баз данных в режиме реального времени, который входит в десятку самых популярных у мобильных разработчиков. Appthority, компания, занимающаяся безопасностью в сфере мобильных технологий, решила протестировать, насколько безопасно используют Firebase разработчики и проверить уязвимости этого сервиса. По итогам тестирования Appthority выпустила отчёт, в котором рассказывается о найденной в Firebase HospitalGown-уязвимости.

Если разработчики не использовали должным образом подключение к облачным БД, то отсутствующий механизм авторизации давал возможность подключаться к этим базам данным и просматривать находящиеся в них в формате JSON сохранённые сведения пользователей приложений. Например, простое дописывание «.json» к URL Firebase базы приложения: «https://appname.firebaseio.com/.json» давало возможность злоумышленникам и прочим любопытным людям получить мгновенный доступ к хранящимся данным.
Поскольку уязвимость не зависит от кода самого приложения, а только от способа подключения к серверам с базами данных, в группу риска попали и iOS, и Android приложения. Appthority проверила 2 705 987 приложений, из них 27 227 Андроид приложения и 1 275 iOS приложения использовали Firebase для хранения данных. Из них: 1 из 11 Android-приложений и 47% iOS приложений оказались подвержены HospitalGown-уязвимости. То есть каждое десятое из приложений, подключённых к Firebase, подключено с нарушением, дающим злоумышленникам доступ к данным пользователей. Около 3 000 приложений и 2 300 серверов были скомпрометированы, из этих трёх тысяч приложений 975 активно использовались в ежедневном режиме. Число скачиваний уязвимых Android-приложений составило 620 млн. Уязвимости подверглись приложения из самых разных категорий: мессенджеры, утилиты, бизнес-инструменты, фитнес-приложения и т.д.
Какие данные можно было получить через эту уязвимость? Размах впечатляет: 2,6 млн. пар пароль-ID в текстовом виде; 4 млн. PHI (Protected Health Information) записей, включая личную переписку и рецепты и предписания врачей; 25 млн. геолокационных данных, полученных через GPS; 50 000 финансовых записей, включая банковские операции, выписки с оплатой и переводами денег и операции с криптовалютами; 4,5 млн. данных пользователей из Facebook, LinkedIn и Firebase; а также автомобильные номера, адреса электронных почт, голосовые сообщения и номера кредитных карт. Общий вес полученных данных составил 113 гигабайт, что ещё раз говорит о масштабе данной утечки и важности её недопущения мобильными разработчиками. По словам представителей AppThority, чтобы предотвратить утечку, связанную с этой разновидностью HospitalGown-уязвимости, разработчикам достаточно предусмотреть файерволл или внедрить механизм авторизации при работе с Firebase. Appthority отправил письма с описанием уязвимости и в Google, который владеет Firebase, и представителям приложений, в которых эта уязвимость была найдена. Google в свою очередь отправил всем разработчикам скомпрометированных приложений инструкцию по защите подключения к облачным базам данным, а также изменил политику безопасности Firebase — теперь, защищённый доступ устанавливается по умолчанию, а включить общий доступ можно включить только с помощью специальной процедуры.

Мобильное агентство Qmobi, продвижение игр и приложений.

Читайте также другие новости