Gửi lúc: 04/07/2018 13:49:24
Bookmark and Share

Hàng ngàn ứng dụng di động để lộ cơ sở dữ liệu Firebase không được bảo vệ

Các nhà nghiên cứu vừa phát hiện cơ sở dữ liệu (CSDL) Firebase của hàng ngàn ứng dụng di động cho cả iOS và Android không được bảo vệ, khiến lộ ra hơn 100 triệu bản ghi, trong đó bao gồm mã người dùng, mật khẩu trần, vị trí và thậm chí cả các bản ghi tài chính như các giao dịch ngân hàng và tiền mã hoá.



Dịch vụ Firebase của Google là một trong những nền tảng phục vụ phát triển ứng dụng phổ biến nhất, cung cấp CSDL trên đám mây cho các lập trình viên lưu dữ liệu ở dạng JSON và cung cấp khả năng đồng bộ thời gian thực với tất cả các máy khách kết nối.

Các nhà nghiên cứu của công ty bảo mật di động Appthority phát hiện ra rằng rất nhiều lập trình viên không bảo mật đúng cách CSDL Firebase và để lộ hàng trăm GB dữ liệu nhạy cảm của khách hàng cho bất kỳ ai truy cập.

Firebase cung cấp một API server cho phép các lập trình viên truy cập CSDL lưu bởi dịch vụ này. Vì thế, kẻ tấn công có thể truy cập những dữ liệu không được bảo vệ bằng cách thêm "/.json" và một tên CSDL trống ở phần cuối của hostname.

Mẫu API URL: https://.firebaseio.com/

Cách truy cập CSDL: Data https://.firebaseio.com/.json

Các nhà nghiên cứu đã quét trên 2,7 triệu ứng dụng và phát hiện thấy hơn 3.000 ứng dụng – trong đó có 2.446 ứng dụng Android và 600 ứng dụng iOS – đang để lộ 2.300 CSDL với hơn 100 triệu bản ghi (tổng dữ liệu bị lộ lên tới hơn 113 GB).



Các ứng dụng Android lộ thông tin đã được tải xuống hơn 620 triệu lần

Các ứng dụng bị ảnh hưởng thuộc nhiều nhóm khác nhau như viễn thông, tiền mã hoá, tài chính, dịch vụ bưu chính, các công ty đi chung xe, các tổ chức giáo dục, các khách sạn, giải pháp năng suất, sức khoẻ và rèn luyện sức khoẻ, công cụ,...

Các nhà nghiên cứu cung cung cấp một phân tích ngắn về những dữ liệu mà họ đã tải xuống từ các ứng dụng sơ hở.

- 2,6 triệu mã người dùng và mật khẩu trần;

- Hơn 4 triệu bản thông tin sức khoẻ cần được bảo vệ (các thông điệp chat và chi tiết đơn thuốc/chỉ dẫn của bác sỹ);

- 25 triệu bản ghi vị trí GPS;

- 50 ngàn bản ghi tài chính bao gồm các giao dịch ngân hàng, thanh toán và giao dịch Bitcoin;

- Hơn 4,5 triệu token truy cập Facebook, LinkedIn, Firebase và dữ liệu doanh nghiệp.



Các nhà nghiên cứu cho biết, nguyên nhân của vấn đề là dịch vụ Firebase của Google không bảo mật dữ liệu người dùng theo mặc định, mà để cho các lập trình viên tự triển khai các biện pháp xác thực người dùng, bảo vệ CSDL. Tính năng bảo mật duy nhất có sẵn là xác thực và cấp phép dựa trên vai trò. Điều tệ hại hơn là không có công cụ nào của bên thứ ba cung cấp tính năng mã hoá.

Các nhà nghiên cứu đã liên lạc với Google, gửi cho họ danh sách tất cả các CSDL bị lộ và cũng liên lạc với một số nhà phát triển để giúp họ đưa ra bản vá lỗi.

Nguyễn Anh (theo The Hacker News)