網(wǎng)友解答: Firebase 是 Google 提供的“后端即服務(wù)”產(chǎn)品，其中包含了大量發(fā)服務(wù)，旨在方便移動(dòng)開發(fā)人員創(chuàng)建基于這些服務(wù)的移動(dòng)或 Web 應(yīng)用。借助 Firebase，開發(fā)者

Firebase 是 Google 提供的“后端即服務(wù)”產(chǎn)品，其中包含了大量發(fā)服務(wù)，旨在方便移動(dòng)開發(fā)人員創(chuàng)建基于這些服務(wù)的移動(dòng)或 Web 應(yīng)用。

借助 Firebase，開發(fā)者們可以輕松嵌入自己的項(xiàng)目，并受益于 Google 的大規(guī)模高性能應(yīng)用系統(tǒng)。

然而 Appthority 在掃描了 270 萬(wàn)款移動(dòng) app 后發(fā)現(xiàn)，其中存在著大量的問(wèn)題。

移動(dòng)安全公司 Appthority 本周發(fā)布報(bào)告稱，由于 Firebase 數(shù)據(jù)庫(kù)配置錯(cuò)誤，導(dǎo)致數(shù)以千計(jì)的 iOS / Android 應(yīng)用程序泄露了超過(guò) 113GB 的數(shù)據(jù)。

從 2018 年 1 月開始，Appthority 的研究人員開始對(duì)使用 Firebase 系統(tǒng)的移動(dòng)應(yīng)用程序進(jìn)行掃描，以存儲(chǔ)用戶數(shù)據(jù)和分析 app 對(duì) Firebase 域請(qǐng)求的通信模式。

研究人員特別搜索了連接到基于 Firebse 的 JSON URL 的應(yīng)用。然而在直接訪問(wèn)時(shí)，卻發(fā)現(xiàn)其允許任何未經(jīng)授權(quán)的第三方查看所有應(yīng)用的數(shù)據(jù)。

研究人員掃描了超過(guò) 270 萬(wàn)個(gè) iOS / Android 應(yīng)用程序后，發(fā)現(xiàn)了 28502 個(gè)移動(dòng) app 在使用 Firebase 后端連接并存儲(chǔ)數(shù)據(jù)（含 27227 個(gè) Android / 1275 款 iOS 應(yīng)用）。

其中的 3046 款 app（2446 個(gè) Android / 600 款 iOS 應(yīng)用），將數(shù)據(jù)保存在了 2271 個(gè)錯(cuò)誤配置的 Firebase 數(shù)據(jù)庫(kù)中，從而允許任何人查看其中的內(nèi)容。

數(shù)據(jù)庫(kù)一共暴露了 1 億多條用戶數(shù)據(jù)記錄，泄露信息總量達(dá)到了 113GB 以上，其中包括：

● 260 萬(wàn)個(gè)明文密碼和用戶 ID；

● 超 400 萬(wàn)受保護(hù)的健康信息（PHI）記錄 -- 含聊天消息與處方細(xì)節(jié)；

● 2500 萬(wàn) GPS 地理位置記錄；

● 5 萬(wàn)財(cái)務(wù)信息 -- 含銀行、支付與比特幣交易記錄；

● 450 萬(wàn) Facebook、LinkedIn、Firebase 等企業(yè)數(shù)據(jù)存儲(chǔ)用戶口令。

Appthority 指出，僅在 Google Play 商店，Android 版本的 app 就已經(jīng)被下載了超過(guò) 6.2 億次，表明一些非常受歡迎的 app 都在這些漏洞后端上運(yùn)行。

萬(wàn)幸的是，在發(fā)布報(bào)告之前，Appthority 已提前向 Google 知會(huì)這一問(wèn)題，并且提供了受影響的 app 和 Firebase 數(shù)據(jù)庫(kù)服務(wù)器列表。

實(shí)際上，這并不是 Appthority 首次發(fā)現(xiàn)應(yīng)用程序后端服務(wù)器暴露關(guān)鍵用戶數(shù)據(jù)：

去年，該公司在發(fā)布的《HospitalGown》報(bào)告中透露，有超過(guò) 1000 款應(yīng)用程序通過(guò) MongoDB、Redis、CouchDB、Elasticsearch 和 MySQL 后端服務(wù)器，暴露了超過(guò) 43TB 的用戶數(shù)據(jù)。

同樣在去年，Appthority 研究人員發(fā)現(xiàn)，數(shù)十名開發(fā)者已經(jīng)在圍繞 Twilio 服務(wù)構(gòu)建的數(shù)百個(gè) app 中留下了 API 憑證，暴露了客戶的私人通話記錄和短信。