Google Firebase后端配置错误 导致大量APP敏感数据泄露

Google 提供的“后端即服务”产品Firebase，由于数据库配置错误，导致数以千计的 iOS / Android APP泄露了超过 113GB 的数据。Firebase包含了大量服务，旨在方便移动开发人员创建基于这些服务的移动或 Web 应用。该泄露事件由移动安全公司 Appthority发布报告。

Firebase 深受顶级 Android 开发者的欢迎，因为它提供了云消息传递、推送通知、数据库、分析、广告、以及其它更多后端和 API 。“开发者们可以轻松嵌入自己的项目，并受益于 Google 的大规模高性能应用系统。然而 Appthority 在扫描了 270 万款移动 app 后发现，其中存在着大量的问题。”

从 2018 年 1 月开始，Appthority 的研究人员开始对使用 Firebase 系统的移动应用程序进行扫描，以存储用户数据和分析 app 对 Firebase 域请求的通信模式。“研究人员特别搜索了连接到基于 Firebse 的 JSON URL 的应用。然而在直接访问时，却发现其允许任何未经授权的第三方查看所有应用的数据。”

研究人员扫描了超过 270 万个 iOS / Android 应用程序后，发现了  28502 个移动 app 在使用 Firebase 后端连接并存储数据（含 27227 个 Android / 1275 款 iOS 应用）。“其中的 3046 款 app（2446 个 Android / 600 款 iOS 应用），将数据保存在了 2271 个错误配置的 Firebase 数据库中，从而允许任何人查看其中的内容。”

数据库一共暴露了 1 亿多条用户数据记录，泄露信息总量达到了 113GB 以上，其中包括：

• 260 万个明文密码和用户 ID；
• 超 400 万受保护的健康信息（PHI）记录 -- 含聊天消息与处方细节；
• 2500 万 GPS 地理位置记录；
• 5 万财务信息 -- 含银行、支付与比特币交易记录；
• 450 万 Facebook、LinkedIn、Firebase 等企业数据存储用户口令。

Appthority 指出，仅在 Google Play 商店，Android 版本的 app 就已经被下载了超过 6.2 亿次，表明一些非常受欢迎的 app 都在这些漏洞后端上运行。“万幸的是，在发布报告之前，Appthority 已提前向 Google 知会这一问题，并且提供了受影响的 app 和 Firebase 数据库列表。”

实际上，这并不是 Appthority 首次发现应用程序后端服务器暴露关键用户数据：“去年，该公司在发布的《HospitalGown》报告中透露，有超过 1000 款应用程序通过 MongoDB、Redis、CouchDB、Elasticsearch 和 MySQL 后端服务器，暴露了超过 43TB 的用户数据。”同样在去年，Appthority 研究人员发现，数十名开发者已经在围绕 Twilio 服务构建的数百个 app 中留下了 API 凭证，暴露了客户的私人通话记录和短信。

文章来源：CnBeta，编译自：Bleeping Computer