افشای اطلاعات هزاران پایگاه داده‌های مبتنی بر فایربیس محافظت‌نشده‌ در برنامه‌های اندرویدی

 

محققان امنیتی تلفن همراه، پایگاه داده‌های فایربیس محافظت‌نشده‌ی هزاران برنامه‌ی اندرویدی و iOS را کشف کردند که بیش از ۱۰۰ میلیون رکورد داده از جمله گذرواژه‌ها، شناسه‌های کاربری، موقعیت مکانی و در برخی موارد، سوابق مالی مانند معاملات بانکی و استخراج ارز دیجیتال را افشاء کرده‌اند. سرویس فایربیس گوگل یکی از محبوب‌ترین بسترهای توسعه‌ی back-end برای برنامه‌های تلفن همراه و وب است که به توسعه‌دهندگان یک پایگاه داده‌ی مبتنی بر ابر ارائه می‌دهد که داده‌ها را در فرمت JSON ذخیره کرده و آن‌ها را برای تمامی مشتریان متصل همگام‌سازی می‌کند.


محققان شرکت امنیت تلفن همراه Appthority کشف کرده‌اند که بسیاری از توسعه‌دهندگان برنامه، در ایمن کردن نقاط انتهایی فایربیس back-end خود با دیواره‌ی آتش و احراز هویت موفق نبوده و بنابراین، صدها گیگابایت از داده‌های حساس مشتریان به‌طور عمومی برای هرکسی قابل دسترسی است. از آنجایی‌که فایربیس یک سرور API به توسعه‌دهندگان برنامه ارائه می‌دهد، مهاجمان می‌توانند تنها با اضافه کردن «json./» با یک نام پایگاه داده‌ی خالی در انتهای نام میزبان به داده‌های محافظت‌نشده دسترسی پیدا کنند. 


آدرس اینترنتی API نمونه: https://<Firebase project name>.firebaseio.com/<database.json>
دسترسی به بارداده: Data https://<Firebase project name>.firebaseio.com/.json


برای بررسی گستره‌ی این موضوع، محققان بیش از ۲٫۷ میلیون برنامه را پویش کرده و متوجه شدند که بیش از ۳ هزار برنامه – ۲۴۴۶ برنامه‌ی اندرویدی و ۶۰۰ برنامه‌ی iOS – در مجموع ۲۳۰۰ پایگاه داده با بیش از ۱۰۰ میلیون پرونده (بیش از ۱۱۳ گیگابایت داده) را افشاء کرده‌اند. برنامه‌های آسیب‌پذیر اندرویدی به‌تنهایی بیش از ۶۲۰ میلیون بار دانلود شده‌اند. این برنامه‌های آسیب‌دیده متعلق به گروه‌های مختلف از جمله ارتباطات راه دور، استخراج ارز دیجیتال، مالی، خدمات پستی، شرکت‌های ride-sharing، موسسه‌های آموزشی، هتل‌ها، بهره‌وری، بهداشت، تناسب اندام، ابزار و موارد دیگر هستند.

محققان تجزیه و تحلیل مختصری را نیز از داده‌های به‌دست آمده از برنامه‌های آسیب‌پذیر ارائه کرده‌اند.

•    2٫۶ میلیون گذرواژه و شناسه‌ی کاربری
•    بیش از ۴ میلیون پرونده‌ی PHI (اطلاعات سلامتی محافظت‌شده) (پیام‌های گفتگو و جزئیات نسخه)
•    25 میلیون از سوابق موقعیت GPS
•    50 هزار سوابق مالی شامل معاملات بانکی، پرداخت و بیت‌کوین
•    بیش از ۴٫۵ میلیون از توکن‌های کاربر در فیس‌بوک، لینکدین، فایربیس و فروشگاه داده‌های شرکتی.
 
محققان ادعا می‌کنند که تمام این افشای اطلاعات در مرحله‌ی اول اتفاق می‌افتند، چراکه سرویس فایربیس گوگل به‌طور پیش‌فرض کاربر را ایمن نمی‌کند و برای پیاده‌سازی احراز هویت کاربران در تمام ردیف‌ها و جداول پایگاه داده و همچنین محافظت از داده‌های آن‌ها در برابر دسترسی‌های غیرمجاز، به توسعه‌دهندگان نیاز دارد. محققان قبلا با گوگل ارتباط برقرار کرده و فهرستی از تمام پایگاه داده‌های برنامه‌های آسیب‌پذیر را ارائه کرده‌اند. همچنین برای کمک به وصله کردن این مسئله، با چند توسعه‌دهنده‌ی برنامه نیز تماس گرفته‌اند.

منبع

پست‌های مشابه

Leave a Comment