افشای اطلاعات کاربران بیش از 4 هزار برنامه کاربردی تنها بر اثر تنظیمات اشتباه پایگاه داده Firebase

بیش از 4 هزار برنامه کاربردی اندرویدی که از پایگاه داده مبتنی بر ابر Firebase شرکت گوگل استفاده می‌کنند، ناخواسته باعث افشای اطلاعات حساس کاربران شان از جمله آدرس ایمیل، نام کاربری، کلمه عبور، شماره تلفن، نام کامل، متن گفتگوها و اطلاعات مکان یابی (لوکیشن) آنها شدند.

این یافته، بر اساس تحقیقی است که توسط شرکت “Security Discovery” با همکاری شرکت امنیتی “Comparitech” صورت گرفته و حاصل تحلیل 15735 برنامه کاربردی اندرویدی است که حدود 18 درصد از کل برنامه‌های کاربردی فروشگاه گوگل پلی را شامل می‌شود.

بنابر اعلام شرکت Comparitech: «نزدیک به 4.8 درصد از برنامه‌های کاربردی موبایلی که از Firebase برای ذخیره اطلاعات کاربران استفاده می‌کنند، به خوبی امن سازی نشده اند. به این ترتیب هر شخصی بدون نیاز به در اختیار داشتن کلمه عبور یا گذر از هرگونه احراز هویتی، امکان دسترسی به پایگاه‌های داده حاوی اطلاعات شخصی کاربران، توکن‌های دسترسی و سایر داده‌های آنها را دارد.»

Firebase که در سال 2014 میلادی توسط شرکت گوگل خریداری شد، یک پلتفرم محبوب برای توسعه برنامه های کاربردی موبایلی است که ابزارهای مختلفی را برای تولید برنامه های کاربردی، ذخیره امن اطلاعات و فایل‌های برنامه‌ها، رفع مشکلات و حتی تعامل با کاربران از طریق سیستم پیام رسان داخلی برنامه کاربردی، در اختیار برنامه نویس‌ها قرار می دهد.

به گفته Comparitech با توجه به این که کاربران اندروید، برنامه‌های کاربردی آسیب پذیر را که بیشتر شامل برنامه‌های کاری، سرگرمی، آموزشی و بازی بوده‌اند، 4.22 میلیارد بار نصب کرده‌اند احتمال بسیار زیادی وجود دارد که حریم خصوصی هر کاربر اندروید، حداقل توسط یک برنامه کاربردی نقض شده باشد.

با توجه به این که Firebase یک ابزار بین پلتفرمی است، محققان هشدار داده اند که ممکن است این تنظیمات اشتباه بر برنامه­ های کاربردی تحت وب و کاربران iOS هم تأثیرگذار بوده باشند.

محتوای کل این پایگاه داده که 4282 برنامه کاربردی را شامل می‌شود، حاوی اطلاعات زیر است:

Diachenko، پایگاه داده افشا شده را با استفاده از API مشهور REST شناسایی کرده است که از آن برای دسترسی به داده‌های ذخیره شده در قالب نمونه‌های امن سازی نشده استفاده می‌شود و می‌توان آنها را با اضافه کردن پسوند jso./ به نشانی وب یک پایگاه داده (مثل https://~project_id~.firebaseio.com/.json) در قالب JSON استخراج کرد.

محققان همچنین متوجه شده اند که غیر از 155066 برنامه کاربردی که پایگاه داده آنها افشا شده است، 9014 برنامه کاربردی هم با مجوز نوشتن منجر به تخریب اطلاعات پایگاه داده و حتی گسترش بدافزارها می‌شوند. بنابراین آن چه که باعث بدتر شدن اوضاع شده، ایندکس شدن نشانی پایگاه داده Firebase توسط موتورهای جست و جویی مثل بینگ است که موجب می‌شود هر کاربری به این اطلاعات دسترسی پیدا کند. البته جستجو با گوگل، منجر به نمایش این اطلاعات نمی‌شود.

شرکت گوگل بعد از اعلام یافته‌های خود در 22 آوریل، با برنامه نویسان مسئول برای رفع این مشکلات ارتباط هایی را برقرار کرده است.

لازم به ذکر است این اولین باری نیست که پایگاه‌های داده Firebase منجر به افشای اطلاعات شخصی کاربران می شوند. محققین شرکت امنیتی Appthority دو سال پیش هم یک مورد مشابه را پیدا کردند که موجب افشای 100 میلیون سابقه اطلاعاتی شد.

باز گذاشتن یک پایگاه داده، بدون داشتن هرگونه سازوکار احراز هویتی، مثل باز گذاشتن درهای نفوذ برای هکرها و مجرمان سایبری است. بنابراین همواره توصیه می‌شود که برنامه نویس‌ها برای حفظ امنیت داده‌ها و جلوگیری از دسترسی غیرمجاز به قوانین پایگاه داده Firebase پایبند باشند.

البته کاربران هم می بایست فقط از برنامه‌های کاربردی قابل اعتماد استفاده کرده و در خصوص اطلاعاتی که در اختیار برنامه‌های کاربردی قرار می‌دهند، همواره محتاط عمل کنند.

 

منبع: thehackernews

خروج از نسخه موبایل