企业移动安全公司 Appthority 发布新报告表示,数千款 iOS 和安卓应用泄露了超过113G数据,原因是2300个 Firebase 数据库默认不保护用户数据:当数据不安全时不会向开发人员发出警告信息,也不会提供第三方加密工具。
该公司去年发布关于 HospitalGown 攻击向量的报告,指出企业设备上超过1000款移动应用因与后端服务器连接不安全而泄露潜在的敏感数据。
HospitalGown 漏洞出现在移动应用的架构和基础设施中,而与之类似,新缺陷产生的原因是移动应用开发人员未要求对谷歌 Firebase 云数据库进行认证。
这份新发布的报告指出,作为移动应用界最流行的后端数据库技术之一,Firebase 在默认情况下并不保护用户数据的安全。它不会警告开发人员数据不安全,也不会提供第三方加密工具。
为了确保数据的安全性,应用开发人员需要在所有数据库表和行中特别实现用户认证,但报告指出,这种情况很少发生。鉴于此,攻击者能够轻易找到开放的 Firebase 应用数据库并访问私密记录。
Firebase 漏洞影响全球
这个安全问题被称作“Firebase 漏洞”,它影响巨大。不安全的 Firebase 数据库泄露1亿条记录 (113G)。
深挖数百万款应用后,安全研究员发现 28,502 款移动应用(27227 款安卓和 1275款 iOS 应用)连接至某个 Firebase 数据库,其中3046款应用 (10.69%) 易受攻击(2446款安卓应用个600款 iOS 应用)。
这3000款易受攻击的应用暴露了2300个易受攻击的数据库中超过1亿条记录(10.34%的 Firebase 数据库易受攻击)。单是安卓应用的下载量就超过6.3亿次。
易受攻击的应用涉及各种行业,包括工具类应用、生产效率类应用、健康和健身类应用、通信类应用、金融和商业类应用等,影响62%的企业。
受影响的组织机构包括银行、电信、邮政、共享骑行公司、酒店和教育机构,受影响范围遍布全球:美国、欧洲、阿根廷、巴西、新加坡、中国台湾、新西兰、印度和中国。
被暴露数据种类繁多
研究人员分析后发现,被暴露的数据中包含260万个明文文本密码和用户 ID;超过400万条受保护的医疗信息记录(含聊天信息和处方详情);2500万条 GPS 位置记录;5万条金融记录,包括银行、支付和比特币交易;以及超过450万个 Facebook、LinkedIn、Firebase 和企业数据存储用户令牌。
报告指出,其中975款 (40%) 的易受攻击的应用和商业相关,它们均安装在活跃的消费者环境中,导致企业私钥和访问凭证(有可能导致攻击者提取敏感的智慧财产)、私人业务会话和销售信息遭暴露。
解决数据安全问题迫在眉睫
自从2015年以来,和 Firebase 数据库连接的应用数量大大增长,因此易受攻击的应用数量也大批量增长。在2015年至2016年期间,使用 Firebase 的应用增长了2112%,而受影响的应用也增长了1225%。在2016年至2017年期间,这两个比例分别增长 271%和74%。
Appthority 安全研究主管 Seth Hardy 指出,“Firebase 漏洞是一个非常严重的移动漏洞,它保留了大量敏感数据。易受攻击应用的数量多而暴露数据类型的多样化表明,企业要解决数据安全问题不能依赖应用开发人员、应用商店审查或者简单的恶意软件扫描。”
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
