Ενημέρωση 2 Ιουλίου 2018:
Η Google ανταποκρίθηκε στην έρευνά μας και λίγη συζήτηση με ένα μέλος της ομάδας του Google Cloud έχει ξεκαθαρίσει μερικές από τις ερωτήσεις σχετικά με αυτήν την αναφορά.
Οι βάσεις δεδομένων του Firebase είναι ασφαλείς από προεπιλογή όταν δημιουργούνται και όλες αυτές οι περιπτώσεις είναι περιπτώσεις όπου ένας προγραμματιστής δεν έχει ακολουθήσει τις βέλτιστες πρακτικές με τη μία ή την άλλη μορφή. Η Google δημοσιεύει ένας πλήρης οδηγός για την ασφάλεια των βάσεων δεδομένων σε πραγματικό χρόνο με το Firebase. Επιπλέον, η κονσόλα διαχειριστή του Firebase εμφανίζει μια προειδοποιητική προειδοποίηση όταν μια βάση δεδομένων έχει καταργήσει τις κανονικές προεπιλεγμένες ασφάλειες και έχει ρυθμιστεί ώστε να επιτρέπει δημόσια πρόσβαση.
Η Google μου λέει επίσης ότι στάλθηκαν μηνύματα ηλεκτρονικού ταχυδρομείου σε όλα τα μη ασφαλή έργα με πλήρεις οδηγίες σχετικά με τον τρόπο ενεργοποίησης της ασφάλειας βάσης δεδομένων τον Δεκέμβριο του 2017. Είναι σαφές αφού μιλήσετε με ένα μέλος εάν η ομάδα του Google Cloud ότι το Firebase είναι τόσο ασφαλές όσο όλοι είχαμε σκεφτεί ότι ήταν και ότι ζητήματα όπως αυτό οφείλονται σε λάθη προγραμματιστή.
Προσφορές VPN: Άδεια ζωής διάρκειας 16 $, μηνιαία πακέτα 1 $ και άνω
Το αρχικό άρθρο εμφανίζεται παρακάτω.
Firebase είναι μια εξαιρετική υπηρεσία για κάθε μικρό προγραμματιστή που χρειάζεται να έχει μια διαδικτυακή υπηρεσία στη διάθεσή τους. Τροφοδοτείται από την Google και η εταιρεία προσπαθεί να βοηθήσει τους προγραμματιστές να το χρησιμοποιήσουν στις εφαρμογές τους για κινητά. Μπορείτε να το δείτε απλώς παρακολουθώντας οποιοδήποτε βίντεο περιόδου σύνδεσης Google I / O σχετικά με το Firebase, το οποίο πραγματικά υποστηρίζουν οι προγραμματιστές όταν αναφέρεται η υπηρεσία.
Προφανώς, ορισμένοι από αυτούς τους προγραμματιστές έχουν χτυπήσει ένα πρόβλημα όταν πρόκειται για τη διαμόρφωση της βάσης δεδομένων που ενδέχεται να χρησιμοποιούν για την αποθήκευση των δεδομένων σας. Μετά τη σάρωση 2,7 εκατομμυρίων εφαρμογών, ερευνητές ασφαλείας στο Appthority λένε ότι περισσότερα από 113 GB δεδομένων είναι διαθέσιμα μέσω περισσότερων από 2.200 βάσεων δεδομένων Firebase σε όποιον γνωρίζει τη σωστή διεύθυνση URL. Συνολικά, εκτίθενται πάνω από 100 εκατομμύρια προσωπικοί δίσκοι.
Οι ερευνητές βρήκαν 28.500 εφαρμογές που χρησιμοποίησαν το Firebase για σύνδεση και αποθήκευση στοιχείων χρήστη, εκ των οποίων 3.046 αποθηκεύτηκαν τα δεδομένα τους μέσα σε μια εσφαλμένη διαμόρφωση βάσης δεδομένων Firebase που ήταν αναγνώσιμη μέσω της χρήσης μιας διεύθυνσης URL JSON σχέδιο. Η πλειονότητα των εφαρμογών που χρησιμοποιούν Firebase είναι για Android, αλλά 600 εφαρμογές που εξέθεσαν δεδομένα προορίζονται για iOS. Το πρόβλημα είναι πλατφόρμα αγνωστικικό και οι εν λόγω εφαρμογές δεν είναι οι ένοχοι εδώ. Είναι απλώς η διαμόρφωση της βάσης δεδομένων στο backend.
Οι πληροφορίες που διέρρευσαν περιέχουν:
- 2,6 εκατομμύρια κωδικοί απλού κειμένου και αναγνωριστικά χρήστη.
- 4 εκατομμύρια + αρχεία PHI (Προστατευόμενες πληροφορίες υγείας).
- 25 εκατομμύρια εγγραφές GPS.
- 50 χιλιάδες οικονομικά συμπεριλαμβανομένων των συναλλαγών Bitcoin.
- 4,5 εκατομμύρια Facebook, LinkedIn, εταιρικά διακριτικά χρηστών στο κατάστημα δεδομένων.
Το Appthority ενημέρωσε την Google σχετικά με τη διαμόρφωση της βάσης δεδομένων και παρείχε τη λίστα των επηρεαζόμενων εφαρμογών πριν από τη δημοσίευση αυτής της αναφοράς. Έχουμε επικοινωνήσει για να δούμε αν η Google έχει κάτι που θα ήθελε να προσθέσει και θα ενημερώσει μόλις ληφθεί.
Το Appthority δεν είναι παράξενο να βρει κανείς διαδικτυακές βάσεις δεδομένων με κακή διαμόρφωση. Προηγουμένως η εταιρεία είχε βρει «κρίσιμα» δεδομένα χρηστών που εκτέθηκαν μέσω υπηρεσιών όπως οι MongoDB, CouchDB, Redis, MySQL και Twilio.
Έχετε ακούσει το Android Central Podcast αυτής της εβδομάδας;
Κάθε εβδομάδα, το Android Central Podcast σας προσφέρει τις τελευταίες τεχνολογικές ειδήσεις, αναλύσεις και καυτές λήψεις, με γνωστούς συν-οικοδεσπότες και ειδικούς καλεσμένους.
- Εγγραφείτε στο Pocket Casts: Ήχος
- Εγγραφείτε στο Spotify: Ήχος
- Εγγραφείτε στο iTunes: Ήχος
Ενδέχεται να κερδίσουμε προμήθεια για αγορές χρησιμοποιώντας τους συνδέσμους μας. Μάθε περισσότερα.
Η Fuchsia είναι η πλατφόρμα λογισμικού της Google για το μέλλον. Εδώ βρισκόμαστε σήμερα και πώς μπορούν να παίζουν όλα.
Το Horizon Forbidden West ακολουθεί τον Aloy καθώς εξερευνά τα δυτικά στις πρώην ΗΠΑ. Αυτός ο νέος τίτλος από τα Guerrilla Games δείχνει ακριβώς τι είναι ικανό το υλικό PS5. Εδώ είναι όλα όσα πρέπει να γνωρίζετε.
Το καλύτερο έξυπνο ρολόι της Huawei λειτουργεί με το δικό του λογισμικό HarmonyOS, αλλά εμπνέεται από τα ρολόγια της Apple και της Google σε όλα τα σωστά μέρη.
Η σημερινή ναυαρχίδα της Google είναι μια μεγάλη γυάλινη πλάκα καινοτομίας και ισχύος, αλλά δεν πρόκειται να σημαίνει πολλά αν την ρίξετε και καταστρέψετε την οθόνη. Προστατέψτε την επένδυσή σας με μια θήκη Pixel 4 XL.
Τζέρι Χίλντενμπραντ
Ο Τζέρι είναι ένας ερασιτέχνης ξυλουργός και αγωνιζόμενος μηχανικός με σκιά. Δεν υπάρχει τίποτα που δεν μπορεί να χωρίσει, αλλά πολλά πράγματα που δεν μπορεί να ξανασυναρμολογήσει. Θα τον βρείτε να γράφει και να μιλά τη δυναμική του γνώμη στο Android Central και περιστασιακά στο Twitter.