欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

Firebase数据库配置错误致超4000安卓app泄露用户数据

e6e9fdb1a932f3282020-05-133资讯

Firebase数据库配置错误致超4000安卓app泄露用户数据  资讯 第1张

Security Discovery和Comparitech的安全研究人员对15735个安卓app分析发现,有超过4000个使用谷歌云Firebase数据库的app泄露了用户的隐私信息,包括邮箱地址、用户名、口令、手机号码、全名、聊天消息和位置数据等。

Firebase

Firebase是谷歌的移动应用开发平台,项目2011年启动,2014年被谷歌收购。App开发者使用Firebase可以进行以下服务

· 认证

· 云存储

· 实时数据库

· 分析

· 消息

· Admob融合

· 机器学习

Firebase的安卓app最流行的存储方案,Google play应用商店中有超过30%的app使用Firebase存储数据。

错误配置分析

研究人员对515735个安装app进行了分析,发现使用Google Firebase保存数据的移动app中有约4.8%没有得到适当的安全保护,任何人都可以再无需密码和其他认证的情况下访问含有个人隐私信息、access token和其他数据的数据库。

在样本中,研究人员发现有超过4282个app有泄露敏感信息的问题。因为515735个app中有18%来自于Google play应用商店,按照这一比例,Google play中有约0.83% (24000个)的app存在通过Firebase泄露敏感数据的问题。这些应用中游戏app和教育类app是泄露数据库最多的。

攻击者有暴露数据库的写权限

在155066 Firebase app中,有11730个app暴露了数据库,其中有9014个甚至有写权限,也就是说攻击者除了查看和下载暴露的数据外,还可以在服务器上添加、修改、移除数据。攻击者有了写权限后,还可以:

· 注入恶意数据到应用中,比如在主流新闻app中加入伪造的头条消息

· 对应用用户进行钓鱼和垃圾邮件攻击

· 传播恶意软件

· 破坏应用数据库

研究人员4月22日将这一问题通知了谷歌,谷歌发言人回应称:

“Firebase提供了大量的特征来帮助开发者正确得配置部署应用。我们会通知开发者部署中存在的潜在错误配置问题,并提供修复建议。”

Firebase其实是一个跨平台的工具,广泛应用于其他操作系统和平台中。因此这些错误配置可能也会影响除安卓app外的其他平台应用。

泄露的数据

研究人员发现这些有漏洞的应用的安装量总计超过42.2亿次。假定平均每个智能手机用户的安装量为60-90之间,那么至少安装了一个有漏洞的应用,并泄露隐私数据的可能性还是很高的。

Firebase数据库配置错误致超4000安卓app泄露用户数据  资讯 第2张

泄露的数据包括但不限于:

· 邮寄地址:700万+

· 用户名: 440万+

· 密码: 100万+

· 手机号码: 530万+

· 全名: 1830万+

· 聊天消息 680万+

· GPS数据: 620万+

· IP地址: 15.6万+

· 街道地址: 56万+

其他数据还包括信用卡号、身份证照片等。

安全建议

研究人员建议app开发者遵循谷歌Firebase文档中的安全指南,包括:

· 应用适当的Firebase Database规则;

· 预防非授权的用户访问敏感信息;

· 不以明文的形式保存密码。

研究人员建议用户:

· 不要在不同账号之间重用密码。

· 只使用可信的应用。

· 注意应用收集和共享的信息。

· 不要共享敏感个人信息。

更多技术细节参见:

https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/

本文翻译自:https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/:
收到勒索电子邮件时该怎么办

在过去的几周中,越来越多的人收到勒索的电子邮件,要求付款以避免泄露敏感信息。大多数情况下,这些电子邮件被称为“勒索”电子邮件,因为它们声称您计算机上的恶意软件已通过网络摄像头捕获了您的尴尬照片,在同类主题上可能还有其他勒索方式。 收到这些勒索邮件并不是什么新鲜事,但随着近期频率的增加,很多人都产生疑虑,正在寻找指导。如果你已经收到了这样一封电子邮件,并且想要知道应该如何回复,那么您来对地方了。 勒索敲诈 这些电子邮件的内容并不完全相同,但是它们具有共同的特征。参考以下示例: 勒索电子邮件文本示例 这个示例具有相当的代表性。首先,骗子会告诉你,它知道你的一个密码,而这个密码真的是你用过的密码之一,这会立即让你产生恐惧,从而产生一种心态,相信其余的信息也是真实的。 接下来,邮件会告诉你,诈骗者还了解你的其他信息,包括通过计算机上的恶意软件捕获到你的尴尬照片。该消息的内容可