Avast виявила програми Android, які розкривають дані користувачів через неправильну конфігурацію Firebase
Avast виявляє програми Android, які розкривають дані користувачів через неправильну конфігурацію Firebase
Avast виявив програми Android, які викривають дані користувачів через неправильну конфігурацію бази даних Firebase. За допомогою Firebase ви можете зберігати дані в найрізноманітніших програмах — для навчання, ігор, пошти, доставки їжі тощо — у регіонах по всьому світу, включаючи Європу, Південно-Східну Азію та Латинську Америку.
Надані дані можуть містити особисту інформацію (персональні дані), зібрані додатками, таку як імена, адреси, місцезнаходження – а в деяких випадках навіть паролі. Avast повідомив Google про свої висновки, щоб розробники додатків могли вжити заходів для виправлення ситуації.
Розробники використовують платформу Firebase для створення додатків для мобільної платформи Android. При цьому вони можуть залишити свої розробки в Firebase видимими для інших розробників, що технічно робить їх видимими для всіх. Коли дослідники Avast Threat Labs розглянули 180 300 загальнодоступних екземплярів пожежної бази, вони виявили, що понад 10 відсотків (19 300) були відкритими — і дані були доступні неавтентифікованим розробникам. Це було пов'язано з неправильною конфігурацією Firebase розробниками.
Гіпотетично такі відкриті джерела піддають ризику крадіжки всі дані, які зберігаються і використовуються додатками, розробленими за допомогою Firebase. Дані можуть включати різноманітну інформацію: особисту інформацію (PII), таку як імена, дати народження, адреси, номери телефонів, місцезнаходження, службові жетони, ключі тощо. Якщо розробники недбало ставляться до безпеки, записи можуть навіть містити паролі у звичайному тексті.
«Кожен з цих відкритих джерел є потенційним витоком даних, який просто чекає свого часу. Якщо він відбудеться, за ним підуть критичні правові, регуляторні та бізнес-ризики. Гіпотетично особиста інформація користувачів більш ніж 10% додатків на базі Firebase може опинитися під загрозою », - сказав дослідник шкідливих програм в Avast. - Сьогодні практично будь-яка велика компанія має власне застосування - магазини, спортзали, поштові служби; є навіть додатки для захисту навколишнього середовища та пожертвувань. Всі вони створені для зручності користувачів і часто з виключно благими намірами. Але для будь-якої організації дуже важливо наполягати на відповідальній розробці своїх додатків. Безпека та конфіденційність повинні бути ключовою частиною всього процесу розробки, а не просто «формальним гвинтиком» у самому кінці».
Avast рекомендує розробникам стежити за потенційними ризиками неправильно налаштованих баз даних і дотримуватися найкращих практик і порад, наданих Google.
«Ми закликаємо всіх розробників перевіряти свої бази даних та інші сховища на предмет можливих неправильних налаштувань, щоб захистити дані користувачів і зробити наш світ безпечнішим».
