Frissítve 2018. július 2 .:
A Google válaszolt megkeresésünkre, és egy kis megbeszélés a Google Cloud csapat egyik tagjával tisztázott néhány kérdést a jelentés körül.
A Firebase adatbázisok biztonságosak alapértelmezés szerint amikor létrejönnek, és ezek az esetek mind olyan esetek, amikor a fejlesztő nem követi a legjobb gyakorlatokat ilyen vagy olyan formában. A Google közzéteszi teljes útmutató a valós idejű adatbázisok Firebase használatával történő biztonságáról. Ezenkívül a Firebase adminisztrációs konzol félreérthetetlen figyelmeztetést jelenít meg, amikor az adatbázisból eltávolították a normál alapértelmezett védelmet, és nyilvános hozzáférés engedélyezésére van beállítva.
A Google azt is elmondja, hogy minden bizonytalan projektnek e-maileket küldtek, amelyek teljes útmutatással szolgáltak az adatbázis-biztonság 2017 decemberi visszakapcsolásáról. Miután egy taggal beszéltünk, egyértelmű, hogy a Google Cloud csapata szerint a Firebase ugyanolyan biztonságos-e, mint azt mindannyian gondoltuk volna, és hogy az ilyen kérdések a fejlesztői hibáknak tulajdoníthatók.
VPN ajánlatok: Élettartamra szóló licenc 16 dollárért, havi tervek 1 dollárért és még több
Az eredeti cikk alább látható.
Firebase nagyszerű szolgáltatás minden olyan kis fejlesztő számára, akinek online szolgáltatásra van szüksége. Ezt a Google hajtja, és a vállalat mindent megtesz annak érdekében, hogy a fejlesztők mobilalkalmazásaikban használják. Láthatja, ha egyszerűen megnéz egy olyan Google I / O munkamenet videót a Firebase-ről, amelyet a fejlesztők valóban felvidítanak, amikor a szolgáltatást megemlítik.
Nyilvánvaló, hogy ezek közül a fejlesztők közül néhány elakadt, amikor konfigurálta az adatbázist, amelyet az adatok tárolására használhat. 2,7 millió alkalmazás beolvasása után az Appthority biztonsági kutatói szerint több mint 113 GB adat áll rendelkezésre több mint 2200 Firebase adatbázison keresztül mindenki számára, aki ismeri a megfelelő URL-t. Összesen több mint 100 millió személyes nyilvántartás van kitéve.
A kutatók 28 500 olyan alkalmazást találtak, amelyek a Firebase segítségével csatlakoztatták és tárolták a felhasználói adatokat, amelyek közül 3046 tárolt adataikat egy rosszul konfigurált Firebase adatbázisban, amely JSON URL használatával olvasható volt rendszer. A Firebase-t használó alkalmazások többsége Androidra, de 600 olyan alkalmazás, amely adatokat tárolt fel, iOS-hez készült. A probléma platform-agnosztikus, és itt nem a szóban forgó alkalmazások a tettesek. Ez egyszerűen az adatbázis-konfiguráció a háttérben.
A kiszivárogtatott információk a következőket tartalmazzák:
- 2,6 millió egyszerű szövegű jelszó és felhasználói azonosító.
- 4 millió + PHI (Protected Health Information) rekord.
- 25 millió GPS-rekord.
- 50 ezer pénzügyi, beleértve a Bitcoin tranzakciókat.
- 4,5 millió Facebook, LinkedIn, vállalati adattár felhasználói tokenek.
Az Appthority a jelentés közzététele előtt tájékoztatta a Google-t az adatbázis konfigurációjáról, és megadta az érintett alkalmazások listáját. Megkerestük, hogy van-e a Google-nak valami, amit hozzá szeretne adni, és frissíti, amint megkapja.
Az Appthority nem idegen a rosszul konfigurált online adatbázisok megtalálásában. Korábban a vállalat "kritikus" felhasználói adatokat talált olyan szolgáltatások révén, mint például a MongoDB, a CouchDB, a Redis, a MySQL és a Twilio.
Hallgatta már a hét Android Central Podcastját?
Az Android Central Podcast minden héten a legfrissebb technológiai híreket, elemzéseket és gyors felvételeket hozza meg ismerős társtársaival és különleges vendégeivel.
- Feliratkozás Pocket Cast-okra: Hang
- Feliratkozás a Spotify-ra: Hang
- Feliratkozás az iTunes-ra: Hang
Linkjeink segítségével jutalékot szerezhetünk a vásárlásokért. Tudj meg többet.
A Fuchsia a Google jövőbeli szoftverplatformja. Itt tartunk ma és hogyan játszódhat le minden.
A Horizon Forbidden West követi Aloy-t, amikor nyugat felé halad az egykori USA-ban. Ez a Guerrilla Games új címe megmutatja, mire képes a PS5 hardver. Itt van minden, amit tudnia kell.
A Huawei eddigi legjobb okosórája a saját HarmonyOS szoftverén fut, de inspirációt merít az Apple és a Google óráiról a megfelelő helyeken.
A Google jelenlegi zászlóshajója nagy üveglap az innovációról és az erőről, de nem sokat fog jelenteni, ha ledobja és összetörné a képernyőt. Védje befektetését egy Pixel 4 XL tokkal.
Jerry Hildenbrand
Jerry amatőr famunkás és árnyékfa-szerelő. Nincs semmi, amit ne tudna szétszedni, de sok mindent nem tud újra összerakni. Megtalálja, hogy ír és elmondja hangos véleményét az Android Central-on és alkalmanként Twitteren.