Päivitä 2. heinäkuuta 2018:
Google on vastannut kyselymme ja vähän keskustelua Google Cloud -tiimin jäsenen kanssa on selvittänyt muutamia tämän raportin ympärillä olevista kysymyksistä.
Firebase-tietokannat ovat turvallisia oletuksena kun ne luodaan, ja kaikki nämä tapaukset ovat tapauksia, joissa kehittäjä ei ole noudattanut parhaita käytäntöjä yhdessä tai toisessa muodossa. Google julkaisee täydellinen opas reaaliaikaisten tietokantojen suojaamisesta Firebasella. Lisäksi Firebase-hallintakonsoli näyttää erehtymättömän varoituksen, kun tietokannasta on poistettu normaalit oletussuojaukset ja se on määritetty sallimaan julkinen käyttö.
Google kertoo minulle myös, että kaikille epävarmoille projekteille lähetettiin sähköpostiviestejä, joissa oli täydelliset ohjeet siitä, miten tietokannan suojaus otetaan käyttöön joulukuussa 2017. Jäsenen kanssa keskustelun jälkeen on selvää, onko Google Cloud -tiimi, että Firebase on yhtä turvallinen kuin me kaikki olimme sitä ajatelleet, ja että tällaiset ongelmat johtuvat kehittäjien virheistä.
VPN-tarjoukset: elinikäinen lisenssi hintaan 16 dollaria, kuukausittaiset suunnitelmat hintaan 1 dollari ja enemmän
Alkuperäinen artikkeli näkyy alla.
Firebase on loistava palvelu pienille kehittäjille, joilla on oltava käytössään verkkopalvelu. Sen tarjoaa Google ja yritys pyrkii kaikin tavoin auttamaan kehittäjiä käyttämään sitä mobiilisovelluksissaan. Voit nähdä yksinkertaisesti katsomalla minkä tahansa Firebasea koskevan Google I / O -istunnon videon, jonka kehittäjät todella piristävät, kun palvelu mainitaan.
Jotkut näistä kehittäjistä ovat ilmeisesti törmänneet tietokannan määrittämiseen, jota he voivat käyttää tietojen tallentamiseen. Skannattuaan 2,7 miljoonaa sovellusta Appthorityn tietoturvatutkijat sanovat, että yli 113 Gt tietoa on saatavilla yli 2200 Firebase-tietokannan kautta kaikille, jotka tietävät oikean URL-osoitteen. Yhteensä henkilökohtaisia tietueita on yli 100 miljoonaa.
Tutkijat löysivät 28 500 sovellusta, jotka käyttivät Firebasea yhteyden muodostamiseen ja käyttäjän tietojen tallentamiseen, joista 3046 tallennettiin heidän tietonsa väärin määritetyssä Firebase-tietokannassa, joka oli luettavissa JSON-URL-osoitteen avulla järjestelmän mukaisesti. Suurin osa Firebasea käyttävistä sovelluksista on tarkoitettu Androidille, mutta 600 tietoja paljastaneelle sovellukselle on tarkoitettu iOS: lle. Ongelma on alusta-agnostinen, eikä kyseiset sovellukset ole syyllisiä tässä. Se on yksinkertaisesti tietokannan kokoonpano taustalla.
Vuodetut tiedot sisältävät:
- 2,6 miljoonaa selkeää salasanaa ja käyttäjätunnusta.
- 4 miljoonaa + PHI (Protected Health Information) -tietueita.
- 25 miljoonaa GPS-tietuetta.
- 50 tuhatta taloudellista, mukaan lukien Bitcoin-tapahtumat.
- 4,5 miljoonaa Facebook-, LinkedIn-, yritystietovarastokäyttäjätunnusta.
Appthority ilmoitti Googlelle tietokannan kokoonpanosta ja toimitti luettelon sovelluksista, joita asia koskee, ennen tämän raportin julkaisemista. Olemme ottaneet yhteyttä siihen, onko Googlella jotain, jonka he haluavat lisätä, ja päivittää sen saatuaan.
Appthoritylle ei ole vieras löytää huonosti määritettyjä online-tietokantoja. Aikaisemmin yritys on löytänyt "kriittisiä" käyttäjätietoja, jotka ovat altistuneet MongoDB: n, CouchDB: n, Rediksen, MySQL: n ja Twilion kautta.
Oletko kuunnellut tämän viikon Android Central Podcastia?
Joka viikko Android Central Podcast tuo sinulle viimeisimmät tekniset uutiset, analyysit ja pikaviestit tuttujen isäntien ja erikoisvieraiden kanssa.
- Tilaa Pocket Casts: Audio
- Tilaa Spotify: Audio
- Tilaa iTunes: Audio
Saatamme ansaita palkkion ostoksistamme linkkien avulla. Lisätietoja.
Fuksia on Googlen tulevaisuuden ohjelmistoalusta. Tässä missä olemme tänään ja miten kaikki voi toimia.
Horizon Forbidden West seuraa Aloya, kun hän tutkii länteen entiseen Yhdysvaltoihin. Tämä uusi Guerrilla Games -nimi osoittaa PS5-laitteiston kykyä. Tässä on kaikki mitä sinun tarvitsee tietää.
Huawein paras älykello toimii vielä omalla HarmonyOS-ohjelmistollaan, mutta se inspiroi Applen ja Googlen kelloja kaikissa oikeissa paikoissa.
Googlen nykyinen lippulaiva on iso lasilevy innovaatioita ja voimaa, mutta se ei tarkoita paljon, jos pudotat sen ja hajotat näytön. Suojaa sijoituksesi Pixel 4 XL -kotelolla.
Jerry Hildenbrand
Jerry on amatööri puutyöntekijä ja kamppaileva varjopuun mekaanikko. Ei ole mitään, mitä hän ei voi hajottaa, mutta monia asioita hän ei voi koota uudelleen. Löydät hänen kirjoittavan ja puhuvan kovaa mielipiteensä Android Centralissa ja toisinaan Twitterissä.