Hàng nghìn ứng dụng di động phơi bày cơ sở dữ liệu Firebase không được bảo vệ của chúng

GIó
9:34 25/06/2018

Các nhà nghiên cứu bảo mật di động đã phát hiện cơ sở dữ liệu Firebase không được bảo vệ của hàng nghìn ứng dụng di động iOS và Android đang phơi bày hơn 100 triệu bản ghi dữ liệu, bao gồm mật khẩu văn bản, ID người dùng, vị trí và trong một số trường hợp là hồ sơ tài chính như giao dịch ngân hàng và tiền điện tử.

Dịch vụ Firebase của Google là một trong những nền tảng phát triển back-end phổ biến nhất dành cho các ứng dụng di động và web, cung cấp cho nhà phát triển cơ sở dữ liệu dựa trên điện toán đám mây, lưu trữ dữ liệu ở định dạng JSON và đồng bộ hóa dữ liệu theo thời gian thực với tất cả khách hàng được kết nối.

Các nhà nghiên cứu từ hãng bảo mật di động Appthority đã phát hiện rằng nhiều nhà phát triển ứng dụng không bảo vệ  Firebase back-end của họ đúng cách bằng tường lửa và cơ chếxác thực, dẫn đến hàng trăm gigabyte dữ liệu nhạy cảm của khách hàng có thể truy cập công khai với bất kỳ ai.

Vì Firebase cung cấp cho nhà phát triển ứng dụng máy chủ API (như bên dưới) để truy cập cơ sở dữ liệu được lưu trữ trên dịch vụ, kẻ tấn công có thể truy cập vào dữ liệu không được bảo vệ thông qua việc thêm "/.json" bằng tên cơ sở dữ liệu trống (blank) ở cuối tên máy chủ.

URL API mẫu: https://<Firebase project name>.firebaseio.com/<database.json>

Payload để truy cập: Data https://<Firebase project name>.firebaseio.com/.json

Để tìm ra mức độ cảnh báo của vấn đề này, các nhà nghiên cứu đã quét hơn 2,7 triệu ứng dụng và thấy rằng hơn 3.000 ứng dụng - 2,446 ứng dụng Android và 600 ứng dụng iOS đã bị rò rỉ toàn bộ 2.300 cơ sở dữ liệu với hơn 100 triệu bản ghi, khiến nó trở thành một hành vi vi phạm trên 113 gigabyte dữ liệu.

Các ứng dụng Android dễ bị tấn công đã được tải xuống hơn 620 triệu lần.

Những ứng dụng bị ảnh hưởng thuộc nhiều bao gồm viễn thông, tiền điện tử, tài chính, dịch vụ bưu chính, công ty chia sẻ chuyến đi, tổ chức giáo dục, khách sạn, sản xuất, sức khỏe, thể dục, các công cụ...

Các nhà nghiên cứu cũng đã cung cấp một bài phân tích ngắn gọn, được đưa ra ở dưới đây, về dữ liệu mà họ đã tải xuống từ các ứng dụng bị lỗ hổng này.

Nhà nghiên cứu khẳng định tất cả điều này xảy ra ngay từ đầu vì dịch vụ Google Firebase không bảo mật dữ liệu người dùng theo mặc định, yêu cầu nhà phát triển triển khai xác thực người dùng một cách rõ ràng trên tất cả các hàng và bảng của cơ sở dữ liệu để bảo vệ cơ sở dữ liệu của mình khỏi bị truy cập trái phép.

"Tính năng bảo mật duy nhất có sẵn cho các nhà phát triển là xác thực và ủy quyền dựa trên các luật (rule)", các nhà nghiên cứu giải thích. Một điều tệ hơn là "không có sẵn các công cụ của bên thứ ba để cung cấp mã hóa cho nó."

Các nhà nghiên cứu đã liên lạc với Google và cung cấp danh sách tất cả các cơ sở dữ liệu ứng dụng đang bị lỗi, đồng thời cũng liên hệ với một số nhà phát triển ứng dụng giúp họ vá lỗi này.

(Theo The Hack News)

TIN LIÊN QUAN
Chúc mừng sinh viên ngành An toàn Thông tin, 𝐋𝐞̂ 𝐂𝐨̂𝐧𝐠 𝐇𝐚̂̀𝐮 𝐯𝐚̀ 𝐍𝐡𝐨́𝐦 𝐧𝐠𝐡𝐢𝐞̂𝐧 𝐜𝐮̛́𝐮 𝐈𝐧𝐒𝐞𝐜𝐋𝐚𝐛 đã có công trình nghiên cứu về Cơ chế xác thực phi tập trung trong Metaverse được thông báo chấp nhận đăng tại Kỷ yếu Hội nghị khoa học quốc tế lần thứ...
Nokia ra mắt nền tảng hỗ trợ chia sẻ, mua bán, hợp tác đào tạo mô hình học máy dựa trên Blockchain và Học liên kết (Federated Learning) Vào tháng 05.2021, Nokia, gã khổng lồ thiết bị viễn thông và điện thoại thông minh Phần Lan đã ra mắt nền...
NFT (Non-fungible token) đóng vai trò quan trọng trong Vũ trụ ảo - Metaverse Sau sự kiện gã khổng lồ Facebook đổi tên thành Meta và tiết lộ chiến lược phát triển các sản phẩm sắp tới liên quan thế giới ảo song song, thì vai trò quan trọng của...