Android应用程序暴露了个人隐私

Firebase是Google在2014年收购的移动平台，可让用户快速安全地开发应用程序。将其视为许多开发人员首选的应用程序生产平台。它使用位于云中的实时数据库，可用于轻松存储用户之间的数据并使其同步。这使得跨平台协作成为孩子们的游戏，将无服务器应用程序的开发面向公众，并且用户的安全性可以得到保障。

如果是这样，开发人员将首先安全地配置所有内容。 Comparitech的最新研究表明，Google Firebase数据库的常见错误配置正在向想要查找的任何人公开敏感信息，包括密码，电话号码和聊天消息。 这是您需要知道的。

由鲍勃·迪亚琴科(Bob Diachenko)领导的Comparitech安全研究小组分析了Google Play商店中515,735个Android应用的样本。 其中155,066个使用Firebase。 Diachenko确认从使用Firebase的示例中，大约有11,730个应用程序公开暴露了Firebase数据库。

进一步深入研究，9014包括必要的写权限，以使潜在的攻击者能够修改数据，包括添加或删除数据，以及仅查看或下载数据。 Comparitech的分析显示有4282个应用程序正在泄漏敏感信息。

根据该报告，暴露的数据包括超过700万个电子邮件地址，以及几乎相同数量的聊天消息。 然后是要考虑的440万用户名和100万密码，以及500万电话号码。

所有这些都足够令人担忧，因为这些数字很大，但是必须从某种角度看待它们。 据估计，到2020年3月，超过150万个应用程序在Android和iOS上使用Firebase平台。即使从分析数据中推断出，Comparitech所做的工作也已达到24,000个潜在泄漏敏感数据的Android应用程序。 通过此类配置错误，这仅占使用Firebase的所有应用程序的1.6%，占可从Google Play本身下载的所有应用程序的0.94%。

通过首先在应用程序资源中搜索表示Firebase使用情况的文本字符串，Comparitech研究人员能够发现公开暴露数据库的应用程序。 从那里，通过Firebase REST API访问具有已启用.json的公共数据库的数据库URL附加请求，以存储数据。 研究人员希望获得访问被拒绝的响应，因为这将表明存在非公开曝光，但是如报告所示，他们最终却过于频繁地返回了完整的数据库内容。 然后，研究人员寻找敏感信息，这些信息经过人工检查是否为假阳性。

研究人员说：“所有访问的数据都被破坏了，确保研究完全符合白帽标准和程序。” 为了揭示对数据库的任何写访问权限，使用了一个PUT请求来创建一个新节点，然后将其删除。

与所有可追溯到配置错误的泄漏数据库问题一样，缓解建议听起来很简单：第一次正确设置数据库配置。不幸的是，事情很少像它们初看起来那样简单。

因此，可以肯定的是，在实施适当的数据库规则并防止未经授权的访问访问敏感数据的情况下，研究人员提供的缓解建议是正确的。 建议应用程序开发人员遵循Google Firebase文档中规定的“安全和规则”准则，这很容易，但事实并非如此。

一次又一次地证明了这一点，各种在线数据库配置错误，导致数据报告被公开泄漏。 确实，在今年早些时候，据报道，惊人的82%的安全“漏洞”是由于一种或另一种错误配置错误引起的。

Comparitech研究人员于4月22日使Google意识到了该报告的发现，并收到以下声明作为回应：

“ Firebase提供了许多功能，可帮助我们的开发人员安全地配置其部署。 我们向开发人员提供有关其部署中可能存在的错误配置的通知，并提供纠正建议。 我们正在与受影响的开发人员联系，以帮助他们解决这些问题。”