firebase后端配置错误 导致大量应用程序敏感数据泄露-k8凯发棋牌

移动安全公司 appthority 本周发布报告称，由于 firebase 数据库配置错误，导致数以千计的 ios / android 应用程序泄露了超过 113gb 的数据。firebase 是 google 提供的“后端即服务”产品，其中包含了大量开发服务，旨在方便移动开发人员创建基于这些服务的移动或 web 应用。

firebase 深受顶级 android 开发者的欢迎，因为它提供了云消息传递、推送通知、数据库、分析、广告、以及其它更多后端和 api 。

开发者们可以轻松嵌入自己的项目，并受益于 google 的大规模高性能应用系统。

然而 appthority 在扫描了 270 万款移动 app 后发现，其中存在着大量的问题。

从 2018 年 1 月开始，appthority 的研究人员开始对使用 firebase 系统的移动应用程序进行扫描，以存储用户数据和分析 app 对 firebase 域请求的通信模式。

研究人员特别搜索了连接到基于 firebse 的 json url 的应用。然而在直接访问时，却发现其允许任何未经授权的第三方查看所有应用的数据。

研究人员扫描了超过 270 万个 ios / android 应用程序后，发现了 28502 个移动 app 在使用 firebase 后端连接并存储数据（含 27227 个 android / 1275 款 ios 应用）。

其中的 3046 款 app（2446 个 android / 600 款 ios 应用），将数据保存在了 2271 个错误配置的 firebase 数据库中，从而允许任何人查看其中的内容。

数据库一共暴露了 1 亿多条用户数据记录，泄露信息总量达到了 113gb 以上，其中包括：

● 260 万个明文密码和用户 id；

● 超 400 万受保护的健康信息（phi）记录 -- 含聊天消息与处方细节；

● 2500 万 gps 地理位置记录；

● 5 万财务信息 -- 含银行、支付与比特币交易记录；

● 450 万 facebook、linkedin、firebase 等企业数据存储用户口令。

appthority 指出，仅在 google play 商店，android 版本的 app 就已经被下载了超过 6.2 亿次，表明一些非常受欢迎的 app 都在这些漏洞后端上运行。

万幸的是，在发布报告之前，appthority 已提前向 google 知会这一问题，并且提供了受影响的 app 和 firebase 数据库服务器列表。

实际上，这并不是 appthority 首次发现应用程序后端服务器暴露关键用户数据：

去年，该公司在发布的《hospitalgown》报告中透露，有超过 1000 款应用程序通过 mongodb、redis、couchdb、elasticsearch 和 mysql 后端服务器，暴露了超过 43tb 的用户数据。

同样在去年，appthority 研究人员发现，数十名开发者已经在围绕 twilio 服务构建的数百个 app 中留下了 api 凭证，暴露了客户的私人通话记录和短信。