محققان امنیتی تلفن همراه، پایگاه دادههای فایربیس محافظتنشدهی هزاران برنامهی اندرویدی و iOS را کشف کردند که بیش از ۱۰۰ میلیون رکورد داده از جمله گذرواژهها، شناسههای کاربری، موقعیت مکانی و در برخی موارد، سوابق مالی مانند معاملات بانکی و استخراج ارز دیجیتال را افشاء کردهاند. سرویس فایربیس گوگل یکی از محبوبترین بسترهای توسعهی back-end برای برنامههای تلفن همراه و وب است که به توسعهدهندگان یک پایگاه دادهی مبتنی بر ابر ارائه میدهد که دادهها را در فرمت JSON ذخیره کرده و آنها را برای تمامی مشتریان متصل همگامسازی میکند.
محققان شرکت امنیت تلفن همراه Appthority کشف کردهاند که بسیاری از توسعهدهندگان برنامه، در ایمن کردن نقاط انتهایی فایربیس back-end خود با دیوارهی آتش و احراز هویت موفق نبوده و بنابراین، صدها گیگابایت از دادههای حساس مشتریان بهطور عمومی برای هرکسی قابل دسترسی است. از آنجاییکه فایربیس یک سرور API به توسعهدهندگان برنامه ارائه میدهد، مهاجمان میتوانند تنها با اضافه کردن «json./» با یک نام پایگاه دادهی خالی در انتهای نام میزبان به دادههای محافظتنشده دسترسی پیدا کنند.
آدرس اینترنتی API نمونه: https://<Firebase project name>.firebaseio.com/<database.json>
دسترسی به بارداده: Data https://<Firebase project name>.firebaseio.com/.json
برای بررسی گسترهی این موضوع، محققان بیش از ۲٫۷ میلیون برنامه را پویش کرده و متوجه شدند که بیش از ۳ هزار برنامه – ۲۴۴۶ برنامهی اندرویدی و ۶۰۰ برنامهی iOS – در مجموع ۲۳۰۰ پایگاه داده با بیش از ۱۰۰ میلیون پرونده (بیش از ۱۱۳ گیگابایت داده) را افشاء کردهاند. برنامههای آسیبپذیر اندرویدی بهتنهایی بیش از ۶۲۰ میلیون بار دانلود شدهاند. این برنامههای آسیبدیده متعلق به گروههای مختلف از جمله ارتباطات راه دور، استخراج ارز دیجیتال، مالی، خدمات پستی، شرکتهای ride-sharing، موسسههای آموزشی، هتلها، بهرهوری، بهداشت، تناسب اندام، ابزار و موارد دیگر هستند.
محققان تجزیه و تحلیل مختصری را نیز از دادههای بهدست آمده از برنامههای آسیبپذیر ارائه کردهاند.
• 2٫۶ میلیون گذرواژه و شناسهی کاربری
• بیش از ۴ میلیون پروندهی PHI (اطلاعات سلامتی محافظتشده) (پیامهای گفتگو و جزئیات نسخه)
• 25 میلیون از سوابق موقعیت GPS
• 50 هزار سوابق مالی شامل معاملات بانکی، پرداخت و بیتکوین
• بیش از ۴٫۵ میلیون از توکنهای کاربر در فیسبوک، لینکدین، فایربیس و فروشگاه دادههای شرکتی.
محققان ادعا میکنند که تمام این افشای اطلاعات در مرحلهی اول اتفاق میافتند، چراکه سرویس فایربیس گوگل بهطور پیشفرض کاربر را ایمن نمیکند و برای پیادهسازی احراز هویت کاربران در تمام ردیفها و جداول پایگاه داده و همچنین محافظت از دادههای آنها در برابر دسترسیهای غیرمجاز، به توسعهدهندگان نیاز دارد. محققان قبلا با گوگل ارتباط برقرار کرده و فهرستی از تمام پایگاه دادههای برنامههای آسیبپذیر را ارائه کردهاند. همچنین برای کمک به وصله کردن این مسئله، با چند توسعهدهندهی برنامه نیز تماس گرفتهاند.