Аналитики компании Avast подсчитали, что из-за неправильной конфигурации БД Firebase тысячи Android-приложений допускают утечки разнообразных данных. Исследователи напоминают, что благодаря Firebase можно хранить данные в огромном количестве различных приложений — для тренировок, игр, почты, доставки еды и прочих — в регионах по всему миру, включая Европу (сюда же входит и Россия), Юго-Восточную Азию и Латинскую Америку. В итоге БД могут содержать личную информацию, собираемую этими приложениями, например, имена, адреса, местоположения, а в некоторых случаях даже пароли.
Многие разработчики используют платформу Firebase для создания Android-приложений. При этом они могут оставлять свои разработки в Firebase видимыми для других разработчиков, а это технически делает их видимыми для всех. Когда исследователи Avast Threat Labs изучили 180 300 общедоступных экземпляров Firebase, они обнаружили, что более 10% (19 300) открыты из-за неправильной конфигурации, то есть данные доступны неаутентифицированным людям.
Компания Avast уведомила Google о своих выводах, чтобы разработчики приложений могли принять меры для исправления ситуации.
Напомню, что специалисты говорят о проблеме неправильной настройки Firebase уже не в первый раз. К примеру, еще в 2018 году аналитики компании Appthority просканировали 2,7 млн приложений для Android и iOS и выявили среди них 28 502 продукта (27 227 приложений для Android и 1275 для iOS), которые обращаются к Firebase и используют этот бэкэнд. Из них 3046 приложений (2446 для Android и 600 для iOS) хранили данные внутри 2271 неправильно настроенной БД Firebase, позволяя любому желающему просматривать их содержимое.
Хуже того, большинство БД размещено в домене firebaseio.com, и базы данных, для которых не требуется пароль, часто индексируются поисковыми системами, что позволяет обнаружить их с помощью простых запросов. И если компания Google старается исключать такие результаты из поисковой выдачи, другие поисковые системы по-прежнему не игнорируют бэкэнд Firebase, и информацию регулярно собирают подпольные брокеры данных.
Источник: xakep