Các nhà nghiên cứu bảo mật di động đã phát hiện cơ sở dữ liệu Firebase không được bảo vệ của hàng nghìn ứng dụng di động iOS và Android đang phơi bày hơn 100 triệu bản ghi dữ liệu, bao gồm mật khẩu văn bản, ID người dùng, vị trí và trong một số trường hợp là hồ sơ tài chính như giao dịch ngân hàng và tiền điện tử.
Dịch vụ Firebase của Google là một trong những nền tảng phát triển back-end phổ biến nhất dành cho các ứng dụng di động và web, cung cấp cho nhà phát triển cơ sở dữ liệu dựa trên điện toán đám mây, lưu trữ dữ liệu ở định dạng JSON và đồng bộ hóa dữ liệu theo thời gian thực với tất cả khách hàng được kết nối.
Các nhà nghiên cứu từ hãng bảo mật di động Appthority đã phát hiện rằng nhiều nhà phát triển ứng dụng không bảo vệ Firebase back-end của họ đúng cách bằng tường lửa và cơ chếxác thực, dẫn đến hàng trăm gigabyte dữ liệu nhạy cảm của khách hàng có thể truy cập công khai với bất kỳ ai.
Vì Firebase cung cấp cho nhà phát triển ứng dụng máy chủ API (như bên dưới) để truy cập cơ sở dữ liệu được lưu trữ trên dịch vụ, kẻ tấn công có thể truy cập vào dữ liệu không được bảo vệ thông qua việc thêm "/.json" bằng tên cơ sở dữ liệu trống (blank) ở cuối tên máy chủ.
URL API mẫu: https://<Firebase project name>.firebaseio.com/<database.json>
Payload để truy cập: Data https://<Firebase project name>.firebaseio.com/.json
Để tìm ra mức độ cảnh báo của vấn đề này, các nhà nghiên cứu đã quét hơn 2,7 triệu ứng dụng và thấy rằng hơn 3.000 ứng dụng - 2,446 ứng dụng Android và 600 ứng dụng iOS đã bị rò rỉ toàn bộ 2.300 cơ sở dữ liệu với hơn 100 triệu bản ghi, khiến nó trở thành một hành vi vi phạm trên 113 gigabyte dữ liệu.
Các ứng dụng Android dễ bị tấn công đã được tải xuống hơn 620 triệu lần.
Những ứng dụng bị ảnh hưởng thuộc nhiều bao gồm viễn thông, tiền điện tử, tài chính, dịch vụ bưu chính, công ty chia sẻ chuyến đi, tổ chức giáo dục, khách sạn, sản xuất, sức khỏe, thể dục, các công cụ...
Các nhà nghiên cứu cũng đã cung cấp một bài phân tích ngắn gọn, được đưa ra ở dưới đây, về dữ liệu mà họ đã tải xuống từ các ứng dụng bị lỗ hổng này.
- 2,6 triệu mật khẩu văn bản và ID người dùng
- Hơn 4 triệu hồ sơ PHI (Thông tin Y tế được Bảo vệ) (tin nhắn trò chuyện và đơn thuốc chi tiết)
- 25 triệu bản ghi GPS chi tiết
- 50.000 hồ sơ tài chính bao gồm giao dịch ngân hàng, thanh toán và giao dịch Bitcoin
- Hơn 4,5 triệu tocken người dùng Facebook, LinkedIn, Firebase và lưu trữ dữ liệu của công ty
Nhà nghiên cứu khẳng định tất cả điều này xảy ra ngay từ đầu vì dịch vụ Google Firebase không bảo mật dữ liệu người dùng theo mặc định, yêu cầu nhà phát triển triển khai xác thực người dùng một cách rõ ràng trên tất cả các hàng và bảng của cơ sở dữ liệu để bảo vệ cơ sở dữ liệu của mình khỏi bị truy cập trái phép.
"Tính năng bảo mật duy nhất có sẵn cho các nhà phát triển là xác thực và ủy quyền dựa trên các luật (rule)", các nhà nghiên cứu giải thích. Một điều tệ hơn là "không có sẵn các công cụ của bên thứ ba để cung cấp mã hóa cho nó."
Các nhà nghiên cứu đã liên lạc với Google và cung cấp danh sách tất cả các cơ sở dữ liệu ứng dụng đang bị lỗi, đồng thời cũng liên hệ với một số nhà phát triển ứng dụng giúp họ vá lỗi này.
(Theo The Hack News)
