網(wǎng)友解答: Firebase 是 Google 提供的“后端即服務(wù)”產(chǎn)品，其中包含了大量發(fā)服務(wù)，旨在方便移動開發(fā)人員創(chuàng)建基于這些服務(wù)的移動或 Web 應(yīng)用。借助 Firebase，開發(fā)者

Firebase 是 Google 提供的“后端即服務(wù)”產(chǎn)品，其中包含了大量發(fā)服務(wù)，旨在方便移動開發(fā)人員創(chuàng)建基于這些服務(wù)的移動或 Web 應(yīng)用。

借助 Firebase，開發(fā)者們可以輕松嵌入自己的項目，并受益于 Google 的大規(guī)模高性能應(yīng)用系統(tǒng)。

然而 Appthority 在掃描了 270 萬款移動 app 后發(fā)現(xiàn)，其中存在著大量的問題。

移動安全公司 Appthority 本周發(fā)布報告稱，由于 Firebase 數(shù)據(jù)庫配置錯誤，導(dǎo)致數(shù)以千計的 iOS / Android 應(yīng)用程序泄露了超過 113GB 的數(shù)據(jù)。

從 2018 年 1 月開始，Appthority 的研究人員開始對使用 Firebase 系統(tǒng)的移動應(yīng)用程序進行掃描，以存儲用戶數(shù)據(jù)和分析 app 對 Firebase 域請求的通信模式。

研究人員特別搜索了連接到基于 Firebse 的 JSON URL 的應(yīng)用。然而在直接訪問時，卻發(fā)現(xiàn)其允許任何未經(jīng)授權(quán)的第三方查看所有應(yīng)用的數(shù)據(jù)。

研究人員掃描了超過 270 萬個 iOS / Android 應(yīng)用程序后，發(fā)現(xiàn)了 28502 個移動 app 在使用 Firebase 后端連接并存儲數(shù)據(jù)（含 27227 個 Android / 1275 款 iOS 應(yīng)用）。

其中的 3046 款 app（2446 個 Android / 600 款 iOS 應(yīng)用），將數(shù)據(jù)保存在了 2271 個錯誤配置的 Firebase 數(shù)據(jù)庫中，從而允許任何人查看其中的內(nèi)容。

數(shù)據(jù)庫一共暴露了 1 億多條用戶數(shù)據(jù)記錄，泄露信息總量達到了 113GB 以上，其中包括：

● 260 萬個明文密碼和用戶 ID；

● 超 400 萬受保護的健康信息（PHI）記錄 -- 含聊天消息與處方細節(jié)；

● 2500 萬 GPS 地理位置記錄；

● 5 萬財務(wù)信息 -- 含銀行、支付與比特幣交易記錄；

● 450 萬 Facebook、LinkedIn、Firebase 等企業(yè)數(shù)據(jù)存儲用戶口令。

Appthority 指出，僅在 Google Play 商店，Android 版本的 app 就已經(jīng)被下載了超過 6.2 億次，表明一些非常受歡迎的 app 都在這些漏洞后端上運行。

萬幸的是，在發(fā)布報告之前，Appthority 已提前向 Google 知會這一問題，并且提供了受影響的 app 和 Firebase 數(shù)據(jù)庫服務(wù)器列表。

實際上，這并不是 Appthority 首次發(fā)現(xiàn)應(yīng)用程序后端服務(wù)器暴露關(guān)鍵用戶數(shù)據(jù)：

去年，該公司在發(fā)布的《HospitalGown》報告中透露，有超過 1000 款應(yīng)用程序通過 MongoDB、Redis、CouchDB、Elasticsearch 和 MySQL 后端服務(wù)器，暴露了超過 43TB 的用戶數(shù)據(jù)。

同樣在去年，Appthority 研究人員發(fā)現(xiàn)，數(shù)十名開發(fā)者已經(jīng)在圍繞 Twilio 服務(wù)構(gòu)建的數(shù)百個 app 中留下了 API 憑證，暴露了客戶的私人通話記錄和短信。