信息化觀察網(wǎng)

近日據(jù)外媒報道，由于Google Firebase發(fā)生嚴(yán)重錯誤配置，導(dǎo)致4000個Android app的用戶數(shù)據(jù)遭泄露。

據(jù)悉，F(xiàn)irebase就是“Firebase，Inc.”，是一個于2011年被首次開發(fā)的移動和Web應(yīng)用程序，隨后，它于2014年被Google收購。Firebase提供種服務(wù)器分析，包括身份驗證、數(shù)據(jù)庫、配置、文件存儲和推送消息傳遞等，而且所有這些服務(wù)都被托管在云中，可以由用戶輕松使用。目前，在Google Play商店中，有超過30％的應(yīng)用都在使用Firebase服務(wù)。

來自Comparitech的安全研究人員發(fā)現(xiàn)，使用Google Firebase存儲數(shù)據(jù)的移動應(yīng)用程序中有4.8％的應(yīng)用其安全性并不正確。Firebase的錯誤配置允許任何人無需密碼或任何其他身份驗證即可訪問包含用戶個人信息、訪問令牌和其他信息的數(shù)據(jù)庫。根據(jù)研究人的統(tǒng)計，發(fā)現(xiàn)配置錯誤的應(yīng)用程序已經(jīng)被Android用戶安裝了42.2億次，同時使用這些應(yīng)用可能會給用戶隱私帶來巨大的風(fēng)險。

以下是研究人員發(fā)現(xiàn)的一些被公開數(shù)據(jù)，其中包含：700多萬條電子郵件地址、440萬個用戶名信息、100多萬條帳號密碼信息、530多萬的用戶電話號碼以及其他重要的用戶居住定位信息和GPS數(shù)據(jù)。在分析的155066個Firebase應(yīng)用程序中，11730個公開了數(shù)據(jù)庫，其中9014個甚至包括修改權(quán)限，除了查看和下載數(shù)據(jù)外，還允許攻擊者添加、修改或刪除服務(wù)器上的數(shù)據(jù)。

同時，專家發(fā)現(xiàn)基于游戲的應(yīng)用程序比其他類別的應(yīng)用程序更容易受到此類攻擊。

對于此次事件，Google表示，F(xiàn)irebase提供了許多功能，可幫助我們的開發(fā)人員安全地配置其部署。目前，Google已經(jīng)向開發(fā)人員發(fā)送了有關(guān)其部署中可能存在的錯誤配置的通知，并提供了糾正建議。同時，F(xiàn)irebase也正在與受影響的其他開發(fā)人員和用戶取得聯(lián)系，以幫助他們降低數(shù)據(jù)泄露帶來的威脅。