افشای داده‌های کاربران توسط بیش از ۴هزار برنامه‌ی اندرویدی مبتنی‌بر پایگاه داده‌ی Firebase

بیش از ۴هزار برنامه‌ی اندرویدی که از پایگاه داده‌ی ابری Firebase گوگل استفاده می‌کنند، به‌صورت ناآگاهانه اطلاعات حساس کاربران خود، از جمله آدرس ایمیل، آدرس IP، نام کاربری، رمز عبور، شماره‌ی تلفن، نام کامل، پیام‌ها و موقعیت مکانی آن‌ها را در معرض افشا قرار می‌دهند. در این تحقیق، ۱۵۷۳۵ برنامه‌ی اندرویدی که حدود ۱۸ درصد از کل برنامه‌های موجود در فروشگاه گوگل پلی را تشکیل می‌دهند، مورد بررسی قرار گرفته‌اند.

به گفته‌ی محققان، ۴٫۸ درصد از برنامه‌های تلفن همراهی که از Firebase گوگل برای ذخیره‌ی اطلاعات کاربران استفاده می‌کنند، به‌درستی ایمن نشده‌اند، بنابراین به هر کسی اجازه می‌دهند تا بدون نیاز به رمز عبور یا هر احراز هویت دیگری، به بانک‌های اطلاعاتی حاوی اطلاعات شخصی کاربران، توکن‌های دسترسی و سایر داده‌ها دسترسی داشته باشند.

پایگاه داده‌ی ابری Firebase که در سال ۲۰۱۴ میلادی توسط گوگل خریداری شد، یک بستر محبوب توسعه‌ی نرم‌افزار موبایل است که ابزارهای متنوعی را برای کمک به توسعه‌دهندگان شخص ثالث به‌منظور ساخت برنامه‌ها، ذخیره‌ی ایمن اطلاعات و فایل‌های برنامه، رفع اشکال‌ها و حتی، ارتباط با کاربران از طریق پیام‌رسان درون برنامه‌ای، ارائه می‌دهد.

طبق گزارش‌ها، برنامه‌های آسیب‌پذیر مورد بحث، که عمدتا از دسته‌بندی‌های بازی‌، آموزشی، سرگرمی و تجاری هستند، ۴٫۲۲ میلیارد بار توسط کاربران اندرویدی نصب شده‌اند. بنابراین، احتمال این‌که حریم شخصی کاربران اندرویدی حداقل توسط یک برنامه به خطر بیفتد، زیاد است. علاوه‌براین، با توجه به این‌که Firebase یک ابزار چندبستری است، محققان هشدار می‌دهند که پیکربندی نادرست آن می‌تواند برنامه‌های iOS و وب را نیز تحت تأثیر قرار دهد.

از سوی دیگر، محققان ۹۰۱۴ برنامه با مجوز نوشتن را نیز شناسایی کرده‌اند که امکان تزریق داده‌های مخرب، corrupt پایگاه داده و حتی، توزیع بدافزار را برای مهاجمان فراهم می‌کنند. مسئله‌ی پیچیده‌تر، ایندکس‌کردن URLهای پایگاه داده Firebase توسط موتورهای جستجویی مانند Bing است که نقاط انتهایی آسیب‌پذیر را برای هر کسی که در اینترنت قرار دارد، در معرض نمایش می‌گذارد. بااین‌وجود، جستجوی Google هیچ نتیجه‌ای را به‌دست نمی‌دهد. درحال‌حاضر، گوگل در تلاش است تا به‌منظور وصله‌کردن این اشکال‌ها، به توسعه‌دهندگان دسترسی پیدا کند.

به گفته‌ی محققان امنیتی، ترک پایگاه داده‌ی افشاشده بدون هیچ‌گونه احراز هویتی، یک دعوت‌نامه‌ی باز برای مهاجمان است. بنابراین، توصیه می‌شود که برنامه‌نویسان برای اطمینان از داده‌ها و جلوگیری از دسترسی غیرمجاز به آن‌ها، از قوانین پایگاه داده‌ی Firebase پیروی کنند. همچنین، از کاربران نیز خواسته می‌شود كه تنها به برنامه‌های مطمئن اعتماد کرده و درمورد اطلاعاتی كه با یک برنامه به اشتراک می‌گذارند، محتاط باشند.

منبع

Related posts

Leave a Comment

نه + هشت =