Trang tin Security Discovery và công ty Comparitech (Anh) đã hợp tác mở cuộc điều tra về 15.735 ứng dụng Android (chiếm khoảng 18% trong tổng số ứng dụng trên cửa hàng Google Play). Công ty Comparitech cho biết, 4,8% ứng dụng di động sử dụng Google Firebase để lưu trữ dữ liệu người dùng không được bảo mật đúng cách, cho phép truy cập cơ sở dữ liệu chứa thông tin cá nhân của người dùng, mã truy cập (token) và các dữ liệu khác mà không cần mật khẩu hoặc bất kỳ yêu cầu xác thực nào".
Được Google mua lại vào năm 2014, Firebase là một nền tảng phát triển ứng dụng di động phổ biến, cung cấp nhiều công cụ để giúp các nhà phát triển ứng dụng bên thứ ba xây dựng ứng dụng, lưu trữ dữ liệu và tệp ứng dụng một cách an toàn, khắc phục sự cố và thậm chí trao đổi với người dùng qua tin nhắn trong ứng dụng.
Với các ứng dụng dễ bị tấn công, chủ yếu thuộc các nhóm trò chơi, giáo dục, giải trí và kinh doanh, Comparitech cho rằng, rất có thể quyền riêng tư của người dùng Android đã bị xâm phạm bởi ít nhất một ứng dụng. Vì Firebase là một công cụ đa nền tảng, các nhà nghiên cứu cũng cảnh báo rằng các cấu hình sai cũng có khả năng ảnh hưởng đến hệ điều hành iOS và các ứng dụng web.
Nội dung đầy đủ của cơ sở dữ liệu trải rộng trên 4.282 ứng dụng, bao gồm: hơn 7 triệu địa chỉ email, hơn 4,4 triệu tên người dùng, hơn 1 triệu mật khẩu, hơn 5,3 triệu số điện thoại, hơn 18,3 triệu tên đầy đủ, hơn 6,8 triệu tin nhắn trò chuyện, hơn 6,2 triệu dữ liệu GPS, hơn 156.000 địa chỉ IP và hơn 560.000 địa chỉ đường phố.
Điều tra viên đã sử dụng API REST của Firebase để truy cập dữ liệu được lưu trữ trên các cơ sở dữ liệu không được bảo vệ, được truy xuất ở định dạng JSON, bằng cách thêm "/.json" vào URL cơ sở dữ liệu (ví dụ: https://~project_id~.firebaseio.com /.json).
Ngoài 155.066 ứng dụng có cơ sở dữ liệu được công khai, các nhà nghiên cứu đã tìm thấy 9.014 ứng dụng có quyền ghi, do đó có khả năng cho phép kẻ tấn công truyền dữ liệu độc hại và làm hỏng cơ sở dữ liệu, thậm chí phát tán phần mềm độc hại.
Vấn đề phức tạp hơn nữa là việc lập chỉ mục các URL cơ sở dữ liệu Firebase của các công cụ tìm kiếm như Bing, để lộ các điểm cuối dễ bị tổn thương cho bất kỳ người dùng Internet. Tuy nhiên, khi tìm kiếm bằng Google thì không trả lại kết quả.
Sau khi Google được thông báo về những phát hiện vào ngày 22/4/2020, gã khổng lồ tìm kiếm cho biết họ sẽ liên hệ với các nhà phát triển bị ảnh hưởng để khắc phục các vấn đề.
Đây không phải là lần đầu tiên cơ sở dữ liệu Firebase bị rò rỉ thông tin cá nhân. Các nhà nghiên cứu từ công ty bảo mật di động Appthority (Mỹ) đã tìm thấy trường hợp tương tự hai năm trước, làm lộ 100 triệu bản ghi.
Việc một cơ sở dữ liệu có thể truy cập mà không yêu cầu bất kỳ xác thực nào như một lời mời mở cho những kẻ tấn công. Do đó, các nhà phát triển ứng dụng nên tuân thủ các quy tắc cơ sở dữ liệu của Firebase để bảo mật dữ liệu và ngăn chặn truy cập trái phép.
Người dùng chỉ nên sử dụng các ứng dụng đáng tin cậy và thận trọng với thông tin được chia sẻ với một ứng dụng.
Nguyễn Anh Tuấn
(Theo The Hacker News)
14:00 | 03/07/2020
10:00 | 16/01/2020
08:00 | 26/08/2021
08:34 | 13/06/2017
08:00 | 25/09/2020
16:00 | 17/12/2020
08:00 | 12/04/2021
13:00 | 03/02/2021
10:00 | 09/04/2020
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024