当前位置:安全资讯 >> 全文

严重的Firebase 漏洞导致大量敏感数据遭泄露 全球62%的企业受影响

发布时间:2018-6-22 17:18 标签: 数据库安全
分享到 0

企业移动安全公司 Appthority 发布新报告表示,数千款 iOS 安卓应用泄露了超过113 G 数据,原因是2300 Firebase 数据库默认不保护用户数据:当数据不安全时不会向开发人员发出警告信息,也不会提供第三方加密工具。

该公司去年发布关于 HospitalGown 攻击向量的报告,指出企业设备上超过1000款移动应用因与后端服务器连接不安全而泄露潜在的敏感数据。

HospitalGown 漏洞出现在移动应用的架构和基础设施中,而与之类似,新缺陷产生的原因是移动应用开发人员未要求对谷歌 Firebase 云数据库进行认证。

这份新发布的报告指出,作为移动应用界最流行的后端数据库技术之一,Firebase 在默认情况下并不保护用户数据的安全。它不会警告开发人员数据不安全,也不会提供第三方加密工具。

为了确保数据的安全性,应用开发人员需要在所有数据库表和行中特别实现用户认证,但报告指出,这种情况很少发生。鉴于此,攻击者能够轻易找到开放的 Firebase 应用数据库并访问私密记录。

Firebase 漏洞影响全球

这个安全问题被称作“Firebase 漏洞”,它影响巨大。不安全的 Firebase 数据库泄露1亿条记录 (113G)

深挖数百万款应用后,安全研究员发现 28,502 款移动应用(27227 款安卓和 1275 iOS 应用)连接至某个 Firebase 数据库,其中3046款应用 (10.69%) 易受攻击(2446款安卓应用个600 iOS 应用)。

3000款易受攻击的应用暴露了2300个易受攻击的数据库中超过1亿条记录(10.34%Firebase 数据库易受攻击)。单是安卓应用的下载量就超过6.3亿次。

易受攻击的应用涉及各种行业,包括工具类应用、生产效率类应用、健康和健身类应用、通信类应用、金融和商业类应用等,影响62%的企业。

受影响的组织机构包括银行、电信、邮政、共享骑行公司、酒店和教育机构,受影响范围遍布全球:美国、欧洲、阿根廷、巴西、新加坡、中国台湾、新西兰、印度和中国。

被暴露数据种类繁多

研究人员分析后发现,被暴露的数据中包含260万个明文文本密码和用户 ID;超过400万条受保护的医疗信息记录(含聊天信息和处方详情);2500万条 GPS 位置记录;5万条金融记录,包括银行、支付和比特币交易;以及超过450万个 FacebookLinkedInFirebase 和企业数据存储用户令牌。

报告指出,其中975 (40%) 的易受攻击的应用和商业相关,它们均安装在活跃的消费者环境中,导致企业私钥和访问凭证(有可能导致攻击者提取敏感的智慧财产)、私人业务会话和销售信息遭暴露。

解决数据安全问题迫在眉睫

自从2015年以来,和 Firebase 数据库连接的应用数量大大增长,因此易受攻击的应用数量也大批量增长。在2015年至2016年期间,使用 Firebase 的应用增长了2112%,而受影响的应用也增长了1225%。在2016年至2017年期间,这两个比例分别增长 271%74%

Appthority 安全研究主管 Seth Hardy 指出,“Firebase 漏洞是一个非常严重的移动漏洞,它保留了大量敏感数据。易受攻击应用的数量多而暴露数据类型的多样化表明,企业要解决数据安全问题不能依赖应用开发人员、应用商店审查或者简单的恶意软件扫描。”

 

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/thousands-mobile-apps-leak-data-firebase-databases
参与讨论,请先 登录 | 注册

用户评论