Värskendage 2. juulit 2018:
Google on meie päringule vastanud ja natuke arutelu Google Cloudi tiimi liikmega on selle aruande osas mõned küsimused lahendanud.
Firebase'i andmebaasid on turvalised algselt nende loomisel ja kõik need juhtumid on juhtumid, kus arendaja ei ole ühel või teisel kujul järginud parimaid tavasid. Google avaldab täielik juhend reaalajas andmebaaside turvamiseks Firebase'i abil. Lisaks kuvab Firebase'i administraatorikonsool eksimatut hoiatust, kui andmebaasist on eemaldatud tavalised vaikekaitsed ja see on konfigureeritud avalikku juurdepääsu lubama.
Google ütleb mulle ka, et kõikidele ebaturvalistele projektidele saadeti e-kirjad koos täielike juhistega, kuidas andmebaasi turvalisus uuesti sisse lülitada 2017. aasta detsembris. Pärast liikmega rääkimist on selge, kas Google Cloudi meeskond on Firebase sama turvaline, kui me kõik arvasime, et see on seotud arendajate vigadega.
VPN-pakkumised: eluaegne litsents 16 dollariga, igakuised plaanid 1 dollar ja rohkem
Algne artikkel ilmub allpool.
Firebase on suurepärane teenus kõigile väikestele arendajatele, kelle käsutuses peab olema veebiteenus. Selle toide on Google ja ettevõte teeb kõik endast oleneva, et aidata arendajatel seda oma mobiilirakendustes kasutada. Seda näete lihtsalt vaadates mis tahes Google'i sisend- / väljundiseansi videot Firebase'i kohta, mida arendajad teenuse mainimisel tegelikult rõõmustavad.
Ilmselt on mõned neist arendajatest tabanud vigu andmebaasi seadistamisel, mida nad võivad teie andmete salvestamiseks kasutada. Pärast 2,7 miljoni rakenduse skannimist ütlevad Appthority turvateadlased, et üle 2200 Firebase'i andmebaasi on kättesaadavad enam kui 113 GB andmeid kõigile, kes teavad õiget URL-i. Kokku on paljastatud üle 100 miljoni isikliku rekordi.
Teadlased leidsid 28 500 rakendust, mis kasutasid Firebase'i kasutajaandmete ühendamiseks ja salvestamiseks, millest 3046 salvestati nende andmed valesti konfigureeritud Firebase'i andmebaasis, mis oli loetav JSON-i URL-i abil skeem. Suurem osa Firebase'i kasutavatest rakendustest on mõeldud Androidile, kuid 600 rakendust, mis andmeid avaldavad, on mõeldud iOS-ile. Probleem on platvormi-agnostiline ja kõnealused rakendused pole siin süüdlased. See on lihtsalt taustaprogrammi andmebaasi konfiguratsioon.
Lekitatud teave sisaldab:
- 2,6 miljonit selgesõnalist parooli ja kasutajatunnust.
- 4 miljonit + PHI (kaitstud terviseteave) kirjet.
- 25 miljonit GPS-kirjet.
- 50 tuhat rahalist, sealhulgas Bitcoini tehingud.
- 4,5 miljonit Facebooki, LinkedIni, ettevõtte andmepoe kasutaja märke.
Appthority teavitas Google'i andmebaasi seadistamisest ja esitas mõjutatud rakenduste loendi enne selle aruande avaldamist. Otsisime teada, kas Google'il on midagi, mida nad sooviksid lisada, ja värskendab seda pärast selle kättesaamist.
Appthority pole võõras, kui leiab halvasti konfigureeritud veebiandmebaase. Varem on ettevõte leidnud "kriitilisi" kasutajaandmeid, mis on avatud selliste teenuste kaudu nagu MongoDB, CouchDB, Redis, MySQL ja Twilio.
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtmed.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Fuksia on Google'i tuleviku tarkvaraplatvorm. Siin on see, kus me täna oleme ja kuidas kõik võib välja mängida.
Horizon Forbidden West jälgib Aloyt, kui ta uurib läände endist USA-d. See uus sissisõit Guerrilla Gamesilt näitab just seda, milleks PS5 riistvara on võimeline. Siin on kõik, mida peate teadma.
Huawei seni parim nutikell töötab omaenda tarkvara HarmonyOS abil, kuid inspireerib Apple'i ja Google'i kellasid kõigis õigetes kohtades.
Google'i praegune lipulaev on suur klaasplaat innovatsiooni ja jõudu, kuid see ei tähenda palju, kui selle maha viskate ja ekraani purustate. Kaitske oma investeeringut Pixel 4 XL ümbrisega.
Jerry Hildenbrand
Jerry on amatöörpuidutööline ja hädas varjupuumehaanik. Pole midagi, mida ta ei saaks lahti võtta, kuid paljusid asju ei saa ta uuesti kokku panna. Leiate, et ta kirjutab ja räägib oma valju arvamust Android Centralis ja aeg-ajalt Twitteris.