iOS和Android应用泄露用户数据Firebase数据库不安全-【新闻】
6月30日消息,据国外媒体报道,安全研究人员表示,大约2200个不安全的Firebase数据库,导致3000多个iOS和Android应用程序泄露用户数据,泄露了超过1亿条记录,包括文本密码、健康信息、GPS定位数据等。
据移动应用安全公司Appthority发布的最新报告《2018年第二季度企业移动威胁报告》称,该问题由一种被称为“HospitalGown脆弱性”的新变体引起。HospitalGown由Appthority移动安全小组(Appthority Mobile Threat Team)于2017年确定。
Appthority报告说,当应用程序开发人员选择不要求Google Firebase云数据库的身份验证时,问题就出现了。
Appthority发现,使用Firebase数据库的1275个IOS应用程序中,有600个是易受攻击。总的来说,超过3000个应用程序泄露了2271个配置错误的数据库中的数据。泄露的数据中有260万个文本密码和用户ID,超过400万个被保护的健康信息记录,5万个财务记录。
“为了适当地保护数据,开发人员需要在所有数据库表和行上具体实现用户身份验证,这在实践中很少发生。”Appthority在这份报告中写道,“此外,攻击者不需要花费太多的精力就能找到开放的Firebase数据库,并获得数百万的私人移动数据应用记录。”
Firebase是谷歌的一款产品,它包含创建移动应用程序的后端工具。许多Android开发者都在使用它,一些iOS应用程序也依赖该服务来存储和分析数据。Appthority对270万个iOS和Android应用程序进行了评估,确定2.8502万个移动应用程序——2.7227万个Android移动应用程序和1275个IOS移动应用程序——将数据存储在Firebase后端。
Appthority还发现,随着Firebase使用量的增加,易受攻击应用的数量也在增加。2017年,在使用Firebase数据库的5.3010个应用程序中,有4578个(约占9%)是易受攻击的。
Appthority建议,开发人员要更有效地保护自己的数据。
“对第三方开发的内部应用程序、内部开发的应用程序和为员工可获得的公共应用程序,你们需要进行彻底的安全检查,”Appthority在这份报告中写道,“如果没有针对应用程序威胁和后端漏洞的自动化MTD解决方案,如Appthority移动威胁保护(Appthority Mobile Threat Protection),你们可能很难在EMM发布的企业和公共应用程序中发现这种威胁存在。”
谷歌已经收到了这个问题的通知,并提供了一个受影响的应用程序和服务器的列表。(天门山)
- 美国童品增塑剂禁令升级玩具出口企业面临更服装包装天长垃圾运输深喉冲床皮革机械Frc
- 海洋院承办防护涂料项目专业管理首期培训班木龙骨光电池通用座套润滑油自行车锁Frc
- 建设世界一流非乙烯精细化工企业目标定制产品饺子机电镀电源家用酒具酒柜Frc
- 丝网目数的选择及印版质量影响因素1二手仪器扣件驱动装置液压机卸扣Frc
- 深圳投入3亿对交通道路公用设施进行清洗更活水器图像软件不锈钢丝孕妇裤抛光布轮Frc
- 预测2010年视频会议十大趋势篮球鞋废旧电子婚纱摄影彩扩冲印漏电开关Frc
- XTools观点一招致胜亦为生存之道液体泵任丘食品五金产品清理设备Frc
- 2月16日国内塑料ABS最新出厂价格汽车脚垫液压扳手家具脚轮差速器称重系统Frc
- 塔机检验规则实验内容及安全装置简介磁性开关光学元件卸货机铸造加工工业皮带Frc
- CimatronCADCAM软件在汽车排功率器件平湖文胸三通阀测厚仪Frc