بیش از ۴هزار برنامهی اندرویدی که از پایگاه دادهی ابری Firebase گوگل استفاده میکنند، بهصورت ناآگاهانه اطلاعات حساس کاربران خود، از جمله آدرس ایمیل، آدرس IP، نام کاربری، رمز عبور، شمارهی تلفن، نام کامل، پیامها و موقعیت مکانی آنها را در معرض افشا قرار میدهند. در این تحقیق، ۱۵۷۳۵ برنامهی اندرویدی که حدود ۱۸ درصد از کل برنامههای موجود در فروشگاه گوگل پلی را تشکیل میدهند، مورد بررسی قرار گرفتهاند.
به گفتهی محققان، ۴٫۸ درصد از برنامههای تلفن همراهی که از Firebase گوگل برای ذخیرهی اطلاعات کاربران استفاده میکنند، بهدرستی ایمن نشدهاند، بنابراین به هر کسی اجازه میدهند تا بدون نیاز به رمز عبور یا هر احراز هویت دیگری، به بانکهای اطلاعاتی حاوی اطلاعات شخصی کاربران، توکنهای دسترسی و سایر دادهها دسترسی داشته باشند.
پایگاه دادهی ابری Firebase که در سال ۲۰۱۴ میلادی توسط گوگل خریداری شد، یک بستر محبوب توسعهی نرمافزار موبایل است که ابزارهای متنوعی را برای کمک به توسعهدهندگان شخص ثالث بهمنظور ساخت برنامهها، ذخیرهی ایمن اطلاعات و فایلهای برنامه، رفع اشکالها و حتی، ارتباط با کاربران از طریق پیامرسان درون برنامهای، ارائه میدهد.
طبق گزارشها، برنامههای آسیبپذیر مورد بحث، که عمدتا از دستهبندیهای بازی، آموزشی، سرگرمی و تجاری هستند، ۴٫۲۲ میلیارد بار توسط کاربران اندرویدی نصب شدهاند. بنابراین، احتمال اینکه حریم شخصی کاربران اندرویدی حداقل توسط یک برنامه به خطر بیفتد، زیاد است. علاوهبراین، با توجه به اینکه Firebase یک ابزار چندبستری است، محققان هشدار میدهند که پیکربندی نادرست آن میتواند برنامههای iOS و وب را نیز تحت تأثیر قرار دهد.
از سوی دیگر، محققان ۹۰۱۴ برنامه با مجوز نوشتن را نیز شناسایی کردهاند که امکان تزریق دادههای مخرب، corrupt پایگاه داده و حتی، توزیع بدافزار را برای مهاجمان فراهم میکنند. مسئلهی پیچیدهتر، ایندکسکردن URLهای پایگاه داده Firebase توسط موتورهای جستجویی مانند Bing است که نقاط انتهایی آسیبپذیر را برای هر کسی که در اینترنت قرار دارد، در معرض نمایش میگذارد. بااینوجود، جستجوی Google هیچ نتیجهای را بهدست نمیدهد. درحالحاضر، گوگل در تلاش است تا بهمنظور وصلهکردن این اشکالها، به توسعهدهندگان دسترسی پیدا کند.
به گفتهی محققان امنیتی، ترک پایگاه دادهی افشاشده بدون هیچگونه احراز هویتی، یک دعوتنامهی باز برای مهاجمان است. بنابراین، توصیه میشود که برنامهنویسان برای اطمینان از دادهها و جلوگیری از دسترسی غیرمجاز به آنها، از قوانین پایگاه دادهی Firebase پیروی کنند. همچنین، از کاربران نیز خواسته میشود كه تنها به برنامههای مطمئن اعتماد کرده و درمورد اطلاعاتی كه با یک برنامه به اشتراک میگذارند، محتاط باشند.