Аналитики компании Appthority подсчитали, что из-за неправильной конфигурации БД Firebase тысячи мобильных приложений допускают утечки разнообразных данных. Исследователи обнаружили в открытом доступе более 100 млн записей, в том числе, пароли, user ID, геолокационные данные и даже информацию о финансовых и криптовалютных операциях.
Начиная с января 2018 года аналитики Appthority сканировали мобильные приложения, использующие в работе Firebase, и изучали, как те сообщаются с доменами Firebase. Особое внимание исследователи уделяли решениями, которые используют JSON URL, что в случае прямого соединения позволяет неавторизованной третьей стороне просматривать информацию приложения.
В общей сложности специалистам просканировали 2,7 млн приложений для Android и iOS и выявили среди них 28 502 продукта (27 227 приложений для Android и 1275 для iOS), которые обращаются к Firebase и используют этот бэкэнд. Из них 3046 приложений (2446 для Android и 600 для iOS) хранили данные внутри 2271 неправильно настроенной БД Firebase, позволяя любому желающему просматривать их содержимое.
Фактически уязвимыми оказались более 10% БД Firebase. Общий объем утечек составил 113 гигабайт данных:
Специалисты Appthority предупреждают, что только "дырявые" приложения для Android были загружены из Google Play Store более 620 000 000 раз, то есть среди изученных продуктов были и очень популярные.
Специалисты не публикуют названия всех проблемных продуктов, но сообщают, что утечки данных представляли опасность для банков, телекомов, служб доставки, каршеринговых компаний, отелей и образовательных учреждений на территории США, Европы, Аргентины, Бразилии, Сингапура, Индии, Китая, Новой Зеландии, Тайваня и так далее. Хуже того, около 40% уязвимых приложений были так или иначе связаны с бизнесом, что могло привести к утечке корпоративных приватных ключей, учетных данных, закрытой финансовой информации.
Еще до публикации официального отчета эксперты уведомили о результатах проведенного анализа компанию Google, а представители софтверного гиганта, в свою очередь, предупредили о проблемах владельцев уязвимых приложений и БД Firebase.
Платформа Firebase, с 2014 года принадлежащая компании Google, предлагает разработчикам мобильных приложений бэкэнд как услугу и позволяет хранить и синхронизировать данные между несколькими клиентами. Firebase поддерживает особенности интеграции с приложениями для операционных систем Android и iOS, реализовано API для приложений на JavaScript, Java, Objective-C и Node.js, также возможно работать напрямую с базой данных REST из ряда JavaScript-фреймворков, включая AngularJS, React, Ember.js и Backbone.js. Также предусмотрено API для шифрования данных.