آسیب‌پذیری‌هاخبر

افشای اطلاعات کاربران بیش از ۴ هزار برنامه کاربردی تنها بر اثر تنظیمات اشتباه پایگاه داده Firebase

بیش از ۴ هزار برنامه کاربردی اندرویدی که از پایگاه داده مبتنی بر ابر Firebase شرکت گوگل استفاده می‌کنند، ناخواسته باعث افشای اطلاعات حساس کاربران شان از جمله آدرس ایمیل، نام کاربری، کلمه عبور، شماره تلفن، نام کامل، متن گفتگوها و اطلاعات مکان یابی (لوکیشن) آنها شدند.

این یافته، بر اساس تحقیقی است که توسط شرکت “Security Discovery” با همکاری شرکت امنیتی “Comparitech” صورت گرفته و حاصل تحلیل ۱۵۷۳۵ برنامه کاربردی اندرویدی است که حدود ۱۸ درصد از کل برنامه‌های کاربردی فروشگاه گوگل پلی را شامل می‌شود.

بنابر اعلام شرکت Comparitech: «نزدیک به ۴.۸ درصد از برنامه‌های کاربردی موبایلی که از Firebase برای ذخیره اطلاعات کاربران استفاده می‌کنند، به خوبی امن سازی نشده اند. به این ترتیب هر شخصی بدون نیاز به در اختیار داشتن کلمه عبور یا گذر از هرگونه احراز هویتی، امکان دسترسی به پایگاه‌های داده حاوی اطلاعات شخصی کاربران، توکن‌های دسترسی و سایر داده‌های آنها را دارد.»

Firebase که در سال ۲۰۱۴ میلادی توسط شرکت گوگل خریداری شد، یک پلتفرم محبوب برای توسعه برنامه های کاربردی موبایلی است که ابزارهای مختلفی را برای تولید برنامه های کاربردی، ذخیره امن اطلاعات و فایل‌های برنامه‌ها، رفع مشکلات و حتی تعامل با کاربران از طریق سیستم پیام رسان داخلی برنامه کاربردی، در اختیار برنامه نویس‌ها قرار می دهد.

به گفته Comparitech با توجه به این که کاربران اندروید، برنامه‌های کاربردی آسیب پذیر را که بیشتر شامل برنامه‌های کاری، سرگرمی، آموزشی و بازی بوده‌اند، ۴.۲۲ میلیارد بار نصب کرده‌اند احتمال بسیار زیادی وجود دارد که حریم خصوصی هر کاربر اندروید، حداقل توسط یک برنامه کاربردی نقض شده باشد.

با توجه به این که Firebase یک ابزار بین پلتفرمی است، محققان هشدار داده اند که ممکن است این تنظیمات اشتباه بر برنامه­ های کاربردی تحت وب و کاربران iOS هم تأثیرگذار بوده باشند.

محتوای کل این پایگاه داده که ۴۲۸۲ برنامه کاربردی را شامل می‌شود، حاوی اطلاعات زیر است:

  • آدرس ایمیل: بیش از هفت میلیون مورد
  • نام کاربری: بیش از چهار میلیون و چهارصد هزار مورد
  • کلمه عبور: بیش از یک میلیون مورد
  • شماره تلفن: بیش از پنج میلیون و سیصد هزار مورد
  • نام کامل: بیش از هجده میلیون و سیصد هزار مورد
  • متن گفتگو: بیش از شش میلیون و هشتصد هزار مورد
  • اطلاعات جی پی اس: بیش از شش میلیون و دویست هزار مورد
  • آدرس ‌آی پی: بیش از ۱۵۶ هزار مورد
  • آدرس خیابان: بیش از ۵۶۰ هزار مورد.

Diachenko، پایگاه داده افشا شده را با استفاده از API مشهور REST شناسایی کرده است که از آن برای دسترسی به داده‌های ذخیره شده در قالب نمونه‌های امن سازی نشده استفاده می‌شود و می‌توان آنها را با اضافه کردن پسوند jso./ به نشانی وب یک پایگاه داده (مثل https://~project_id~.firebaseio.com/.json) در قالب JSON استخراج کرد.

محققان همچنین متوجه شده اند که غیر از ۱۵۵۰۶۶ برنامه کاربردی که پایگاه داده آنها افشا شده است، ۹۰۱۴ برنامه کاربردی هم با مجوز نوشتن منجر به تخریب اطلاعات پایگاه داده و حتی گسترش بدافزارها می‌شوند. بنابراین آن چه که باعث بدتر شدن اوضاع شده، ایندکس شدن نشانی پایگاه داده Firebase توسط موتورهای جست و جویی مثل بینگ است که موجب می‌شود هر کاربری به این اطلاعات دسترسی پیدا کند. البته جستجو با گوگل، منجر به نمایش این اطلاعات نمی‌شود.

شرکت گوگل بعد از اعلام یافته‌های خود در ۲۲ آوریل، با برنامه نویسان مسئول برای رفع این مشکلات ارتباط هایی را برقرار کرده است.

لازم به ذکر است این اولین باری نیست که پایگاه‌های داده Firebase منجر به افشای اطلاعات شخصی کاربران می شوند. محققین شرکت امنیتی Appthority دو سال پیش هم یک مورد مشابه را پیدا کردند که موجب افشای ۱۰۰ میلیون سابقه اطلاعاتی شد.

باز گذاشتن یک پایگاه داده، بدون داشتن هرگونه سازوکار احراز هویتی، مثل باز گذاشتن درهای نفوذ برای هکرها و مجرمان سایبری است. بنابراین همواره توصیه می‌شود که برنامه نویس‌ها برای حفظ امنیت داده‌ها و جلوگیری از دسترسی غیرمجاز به قوانین پایگاه داده Firebase پایبند باشند.

البته کاربران هم می بایست فقط از برنامه‌های کاربردی قابل اعتماد استفاده کرده و در خصوص اطلاعاتی که در اختیار برنامه‌های کاربردی قرار می‌دهند، همواره محتاط عمل کنند.

 

منبع: thehackernews

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

19 − 2 =

دکمه بازگشت به بالا
بستن
بستن