Breaking News

Lebih dari 4000 Aplikasi Android Mengekspos Data Pengguna melalui Salah Firebase Database

Misconfigured Firebase Databases

Lebih dari 4.000 aplikasi Android yang menggunakan Google cloud-hosted Firebase database ‘tidak sadar’ membocorkan informasi sensitif tentang pengguna, seperti alamat email, username, password, nomor telepon, nama lengkap, pesan chat dan data lokasi.

Penyelidikan, yang dipimpin oleh Bob Diachenko dari Keamanan Penemuan dalam kemitraan dengan Comparitech, adalah hasil dari analisis 15,735 aplikasi Android, yang terdiri dari sekitar 18 persen dari seluruh aplikasi di Google Play store.

“4,8% dari aplikasi mobile menggunakan Google Firebase untuk menyimpan data pengguna yang tidak benar aman, yang memungkinkan siapa saja untuk mengakses database yang berisi informasi pribadi pengguna, access token, dan data lain tanpa password atau otentikasi lainnya,” Comparitech kata.

Diakuisisi oleh Google pada tahun 2014, Firebase adalah tempat pengembangan aplikasi mobile platform yang menawarkan berbagai alat untuk membantu aplikasi pihak ketiga pengembang membangun aplikasi, aman menyimpan data aplikasi dan file, memperbaiki masalah, dan bahkan berinteraksi dengan pengguna melalui di-app fitur pesan.

Dengan rentan aplikasi dalam pertanyaan — sebagian besar mencakup permainan, pendidikan, hiburan, dan kategori bisnis dipasang 4.22 miliar kali oleh pengguna Android, Comparitech mengatakan: “kemungkinan tinggi bahwa Android privasi pengguna telah disusupi oleh setidaknya satu aplikasi.”

Mengingat bahwa Firebase adalah cross-platform alat ini, para peneliti juga memperingatkan bahwa kesalahan konfigurasi kemungkinan dampak iOS dan web apps.

Isi lengkap dari database, mencakup seluruh 4,282 aplikasi, termasuk:

  • Alamat Email: 7,000,000+
  • Username: 4,400,000+
  • Password: 1,000,000+
  • Nomor telepon: 5,300,000+
  • Nama lengkap: 18,300,000+
  • Pesan Chat: 6.800.000 belum+
  • Data GPS: 6,200,000+
  • Alamat IP: 156,000+
  • Alamat jalan: 560,000+

Diachenko menemukan terkena database menggunakan dikenal Firebase ini SISA API yang digunakan untuk mengakses data yang tersimpan pada terlindungi contoh, diambil dalam format JSON, dengan hanya suffixing “/.json” ke database URL (misalnya “https://~project_id~.firebaseio.com/.json”).

firebase database security

Selain 155,066 aplikasi setelah secara terbuka terkena database, para peneliti menemukan 9,014 aplikasi dengan hak akses menulis, dengan demikian berpotensi memungkinkan penyerang untuk inject data berbahaya dan merusak database, dan bahkan menyebarkan malware.

Untuk memperumit masalah lebih lanjut adalah pengindeksan dari Firebase Url database dengan mesin pencari seperti Bing, yang memperlihatkan rentan endpoint untuk siapa saja di Internet. Pencarian Google, bagaimanapun, tidak memberikan hasil.

Setelah Google diberitahu tentang temuan pada April 22, raksasa pencarian kata itu menjangkau mempengaruhi pengembang untuk menambal masalah.

Ini bukan pertama kalinya terkena Firebase database telah membocorkan informasi pribadi. Para peneliti dari mobile security perusahaan Appthority ditemukan kasus serupa dua tahun yang lalu, yang mengakibatkan paparan dari 100 juta rekaman data.

Meninggalkan sebuah database yang terkena tanpa otentikasi adalah undangan terbuka untuk aktor yang buruk. Oleh karena itu direkomendasikan bahwa pengembang aplikasi mematuhi Firebase database aturan untuk mengamankan data dan mencegah akses yang tidak sah.

Pengguna, untuk bagian mereka, didesak untuk tetap hanya aplikasi terpercaya dan berhati-hati tentang informasi yang dibagi dengan sebuah aplikasi.

shortenage

Leave a Reply

Your email address will not be published. Required fields are marked *

Powered by WordPress | Bootstrap Themes