Opdatering 2. juli 2018:
Google har reageret på vores henvendelse, og en smule diskussion med et medlem af Google Cloud-teamet har ryddet op i et par af spørgsmålene omkring denne rapport.
Firebase-databaser er sikre som standard når de oprettes, og alle disse tilfælde er tilfælde, hvor en udvikler ikke har fulgt bedste praksis i en eller anden form. Google udgiver en komplet guide til sikring af realtidsdatabaser med Firebase. Derudover viser Firebase-administrationskonsollen en umiskendelig advarsel, når den normale standardbeskyttelse er fjernet i en database og er konfigureret til at give mulighed for offentlig adgang.
Google fortæller mig også, at e-mails blev sendt til alle usikre projekter med komplette anvisninger om, hvordan man aktiverer databasesikkerhed igen i december 2017. Efter at have talt med et medlem er det klart, om Google Cloud-teamet, at Firebase er så sikkert, som vi alle havde troet, det var, og at problemer som dette tilskrives udviklerfejl.
VPN-tilbud: Lifetime-licens til $ 16, månedlige planer til $ 1 og mere
Den originale artikel vises nedenfor.
Firebase er en god service til enhver lille udvikler, der har brug for en onlinetjeneste til deres rådighed. Det drives af Google, og virksomheden går ud af sin måde at hjælpe udviklere med at bruge det i deres mobilapps. Du kan se ved blot at se en hvilken som helst Google I / O-session-video om Firebase, som udviklere faktisk jubler, når tjenesten nævnes.
Nogle af disse udviklere har tilsyneladende ramt en hakke, når det kommer til at konfigurere den database, de muligvis bruger til at gemme dine data. Efter scanning af 2,7 millioner apps siger sikkerhedsforskere hos Appthority, at mere end 113 GB data er tilgængelige gennem over 2.200 Firebase-databaser til alle, der kender den rigtige URL. I alt er der over 100 millioner personlige optegnelser eksponeret.
Forskere fandt 28.500 apps, der brugte Firebase til at oprette forbindelse og gemme brugeroplysninger, hvoraf 3.046 lagrede deres data inde i en forkert konfigureret Firebase-database, der var læsbar ved brug af en JSON URL ordning. Størstedelen af de apps, der bruger Firebase, er til Android, men 600 apps, der udsætter data, er til iOS. Problemet er agnostisk platform, og de pågældende apps er ikke synderen her. Det er simpelthen databasekonfigurationen på backend.
De lækkede oplysninger indeholder:
- 2,6 millioner almindelig tekstadgangskoder og bruger-id'er.
- 4 millioner + PHI-poster (Protected Health Information).
- 25 millioner GPS-poster.
- 50 tusind finansielle inklusive Bitcoin-transaktioner.
- 4,5 millioner Facebook, LinkedIn, firmadatabutikere.
Appthority informerede Google om databasekonfigurationen og leverede listen over berørte apps, før denne rapport blev offentliggjort. Vi har nået ud til at se, om Google har noget, de gerne vil tilføje, og vil opdatere, når det er modtaget.
Appthority er ikke fremmed for at finde dårligt konfigurerede online databaser. Tidligere har virksomheden fundet "kritiske" brugerdata eksponeret gennem tjenester som MongoDB, CouchDB, Redis, MySQL og Twilio.
Har du lyttet til denne uges Android Central Podcast?
Hver uge bringer Android Central Podcast dig de seneste tekniske nyheder, analyser og hot take med kendte co-værter og specielle gæster.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Fuchsia er Googles fremtidige softwareplatform. Her er hvor vi er i dag, og hvordan alt kan spille ud.
Horizon Forbidden West følger Aloy, da hun udforsker vest i det tidligere USA. Denne nye titel fra Guerrilla Games viser lige hvad PS5-hardware er i stand til. Her er alt hvad du behøver at vide.
Huaweis bedste smartwatch endnu kører på sin egen HarmonyOS-software, men henter inspiration fra Apples og Googles ure alle de rigtige steder.
Googles nuværende flagskib er en stor glasplade af innovation og magt, men det betyder ikke meget, hvis du taber det og knuser skærmen. Beskyt din investering med et Pixel 4 XL-etui.
Jerry Hildenbrand
Jerry er en amatør træarbejder og kæmper for skyggetræmekaniker. Der er intet, han ikke kan tage fra hinanden, men mange ting, som han ikke kan samle igen. Du finder ham skrive og tale sin høje mening om Android Central og lejlighedsvis på Twitter.