Більше 4000 додатків для Android, які використовують хмарні бази даних Firebase від Google, “мимоволі”допускають витоки конфіденційної інформації про своїх користувачів, включаючи їх адреси електронної пошти, імена користувачів, паролі, телефонні номери, повні імена, повідомлення в чаті та дані про місцезнаходження. Про це пише TheHackerNews.
Розслідування, яке проводив експерт Боб Дяченко з Security Discovery у партнерстві з Comparitech, є результатом аналізу 15 735 додатків для Android, які складають близько 18 відсотків усіх додатків у магазині Google Play.
“4,8 відсотка мобільних додатків, що використовують Google Firebase для зберігання даних користувачів, не захищені належним чином, що дозволяє кожному отримувати доступ до баз даних, що містять особисту інформацію користувачів, маркери доступу та інші дані без пароля чи будь-якої іншої автентифікації”, – сказали представники Comparitech.
Придбана Google у 2014 році, Firebase – популярна платформа для розробки мобільних додатків, яка пропонує різноманітні інструменти, що допомагають стороннім розробникам додатків створювати додатки, надійно зберігати дані та файли додатків, виправляти проблеми та навіть спілкуватися з користувачами через обмін повідомленнями в додатках.
Що стосується уразливих додатків – в основному з категорії ігор, освіти, розваг та бізнесових додатків, то їх було встановлено 4,22 мільярди разів користувачами Android, Comparitech зазначає: “великі шанси на те, що конфіденційність користувачів Android була порушена хоча б в одному додатку”.
Зважаючи на те, що Firebase – це інструмент, що є платформою для багатьох платформ, дослідники також попередили, що неправильні конфігурації, ймовірно, впливатимуть на iOS та веб-додатки.
Повний вміст незахищеного сегмента бази даних, що охоплює 4 282 уразливі програми, містив:
- Адреси електронної пошти: 7 000 000+;
- Імена користувачів: 4 400 000+;
- Паролі: 1 000 000+;
- Номери телефонів: 5300000+;
- Повні імена користувачів: 18 300 000+;
- Повідомлення в чаті: 6 800 000+;
- Дані GPS: 6 200 000+;
- IP адреси: 156 000+;
- Домашні адреси: 560 000+.
Дяченко знайшов відкриті бази даних за допомогою відомого API REST Firebase, який використовується для доступу до даних, що зберігаються в незахищених екземплярах, отриманих у форматі JSON, просто суфіксом “/.json” до URL-адреси бази даних (наприклад, “https: //~project_id~.firebaseio”. com / .json “).
Скімери, веб-шкідники та NFC-атаки: сучасні загрози для ваших банківських карт
Окрім 155,066 додатків, що мають відкриті бази даних, дослідники знайшли 9,014 додатків із дозволом на запис у базу даних, які таким чином потенційно дозволяють зловмиснику вводити шкідливі дані та пошкоджувати базу даних, і навіть поширювати зловмисне програмне забезпечення.
Подальше ускладнення питання полягає в індексації URL-адрес баз даних Firebase за допомогою пошукових систем, таких як Bing, яка відкриває вразливі кінцеві точки для всіх в Інтернеті. Пошук Google, однак, не дає результатів по цій базі даних.
Після повідомлення компанії Google про результати 22 квітня, пошуковий гігант заявив, що він запрошує до співпраці постраждалих розробників для виправлення проблем.
Це не вперше відкриті для зовнішнього втручання бази даних Firebase, з яких можна витягти інформацію. Дослідники фірми з безпеки мобільних додатків Appthority виявили подібний випадок два роки тому, в результаті чого було розкрито 100 мільйонів записів, що містили приватні дані.
Залишення входу до бази даних без будь-якої автентифікації – це відкрите запрошення для дій зловмисників. Тому розробникам додатків рекомендується дотримуватися правил бази даних Firebase для захисту даних та запобігання несанкціонованого доступу. Зі свого боку, користувачів закликають використовувати перевірені програми та бути обережними щодо інформації, якою ділиться додаток.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ЗАХИСТИТИ GOOGLE ДИСК ЗА ДОПОМОГОЮ TOUCH ID АБО FACE ID?
ЯК НАЛАШТУВТАИ НОВИЙ ІНТЕРФЕЙС У НАСТІЛЬНІЙ ВЕРСІЇ FACEBOOK? – ІНСТРУКЦІЯ
ЯК ОЧИСТИТИ ІСТОРІЮ В УСІХ МОБІЛЬНИХ БРАУЗЕРАХ? ІНСТРУКЦІЯ
Нагадаємо, фахівці компанії Malwarebytes виявили нову шкідливу кампанію, під час якої зловмисники викрадають дані банківських карт користувачів за допомогою вбудованого в сайт шкідливого ПЗ.
Зверніть увагу, хакерська група Shiny Hunters заявила, що викрала 500 ГБ даних із депозиторіїв технічного гіганта Microsoft на платформі розробників GitHub, якою володіє компанія.
Також дослідники безпеки з компанії VPNpro проаналізували 20 найпопулярніших VPN-сервісів і виявили, що два з них містять уразливості, які зловмисники можуть проексплуатувати для перехоплення з’єднання з метою відправлення підроблених оновлень і встановлення шкідливих програм або крадіжки даних користувача.
Коли у Вас кілька облікових записів, тримати у голові усі паролі до них стає складно. Ви можете вдатися до простих комбінацій, однак це лише одна з багатьох помилок, які Ви можете допустити. Ознайомитеся із п’ятьма найпоширенішими помилками, до яких Ви можете вдатися під час створення та використання паролів.
До речі, купувати поганий ноутбук стає складніше, але те, що відрізняє найкращі ноутбуки від хороших ноутбуків, – це те, як вони врівноважують потужність, ефективність, портативність та комфорт. Як вибрати з-поміж кращих пропозицій, які вже є на ринку, читайте у статті.
