Firebase数据库配置错误致超4000安卓app泄露用户数据

Security Discovery和Comparitech的安全研究人员对15735个安卓app分析发现，有超过4000个使用谷歌云Firebase数据库的app泄露了用户的隐私信息，包括邮箱地址、用户名、口令、手机号码、全名、聊天消息和位置数据等。

Firebase

Firebase是谷歌的移动应用开发平台，项目2011年启动，2014年被谷歌收购。App开发者使用Firebase可以进行以下服务：

· 认证

· 云存储

· 实时数据库

· 分析

· 消息

· Admob融合

· 机器学习

Firebase的安卓app最流行的存储方案，Google play应用商店中有超过30%的app使用Firebase存储数据。

错误配置分析

研究人员对515735个安装app进行了分析，发现使用Google Firebase保存数据的移动app中有约4.8%没有得到适当的安全保护，任何人都可以再无需密码和其他认证的情况下访问含有个人隐私信息、access token和其他数据的数据库。

在样本中，研究人员发现有超过4282个app有泄露敏感信息的问题。因为515735个app中有18%来自于Google play应用商店，按照这一比例，Google play中有约0.83% (24000个)的app存在通过Firebase泄露敏感数据的问题。这些应用中游戏app和教育类app是泄露数据库最多的。

攻击者有暴露数据库的写权限

在155066 Firebase app中，有11730个app暴露了数据库，其中有9014个甚至有写权限，也就是说攻击者除了查看和下载暴露的数据外，还可以在服务器上添加、修改、移除数据。攻击者有了写权限后，还可以：

· 注入恶意数据到应用中，比如在主流新闻app中加入伪造的头条消息。

· 对应用用户进行钓鱼和垃圾邮件攻击

· 传播恶意软件

· 破坏应用数据库

研究人员4月22日将这一问题通知了谷歌，谷歌发言人回应称：

“Firebase提供了大量的特征来帮助开发者正确得配置部署应用。我们会通知开发者部署中存在的潜在错误配置问题，并提供修复建议。”

Firebase其实是一个跨平台的工具，广泛应用于其他操作系统和平台中。因此这些错误配置可能也会影响除安卓app外的其他平台应用。

泄露的数据

研究人员发现这些有漏洞的应用的安装量总计超过42.2亿次。假定平均每个智能手机用户的安装量为60-90之间，那么至少安装了一个有漏洞的应用，并泄露隐私数据的可能性还是很高的。

泄露的数据包括但不限于：

· 邮寄地址：700万+

· 用户名: 440万+

· 密码: 100万+

· 手机号码: 530万+

· 全名: 1830万+

· 聊天消息 680万+

· GPS数据： 620万+

· IP地址: 15.6万+

· 街道地址: 56万+

其他数据还包括信用卡号、身份证照片等。

安全建议

研究人员建议app开发者遵循谷歌Firebase文档中的安全指南，包括：

· 应用适当的Firebase Database规则；

· 预防非授权的用户访问敏感信息；

· 不以明文的形式保存密码。

研究人员建议用户：

· 不要在不同账号之间重用密码。

· 只使用可信的应用。

· 注意应用收集和共享的信息。

· 不要共享敏感个人信息。

更多技术细节参见：

https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/