Miliony danych z aplikacji dostępnych publicznie

Firma Appthority postanowiła przeanalizować pod kątem bezpieczeństwa 2,7 miliona aplikacji mobilnych. Niestety wnioski[1] nie są optymistyczne, gdyż ponad 10% posiada publicznie dostępną bazę danych, co naraża użytkowników. Przebadane programy korzystały z bazy danych Firebase, która obecnie jest własnością Google i funkcjonuje jako usługa chmurowa, z której mogą korzystać twórcy oprogramowania. Wykorzystują ją zarówno deweloperzy systemu iOS jak i Android.

Źródło: https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html
Źródło: https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html

Według statystyk opublikowanych przez firmę, łączna liczba informacji, które były dostępne publicznie wynosi prawie 100 milionów rekordów. Znalazły się tam takie dane jak hasła w postaci otwartego tekstu (plaintext), numery identyfikacyjny użytkowników, ich lokalizacja, dane medyczne, raporty finansowe i wiele innych, które uchodzą za newralgiczne informacje.

Źródło: https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html
Źródło: https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html

Błąd wynika z nieprawidłowego zabezpieczenia przez twórców aplikacji. Do uzyskania dostępu do bazy danych wystarczy drobna modyfikacja, która została zaprezentowana poniżej:

Źródło: https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html
Źródło: https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html

 

Źródło: https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html
Źródło: https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html

Z przeskanowanych aplikacji, błędy posiadało 2446 programów przeznaczonych na system Android i 600 aplikacji dla iOS. Twórcy poinformowali ile danych uzyskali:

  • 2,6 miliona haseł
  • 4 miliony danych medycznych
  • 25 milionów lokalizacji na podstawie GPS
  • 50 tysięcy informacji finansowych

[1] https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html