Foto: Getty
Dankzij de slecht beveiligde backend databases, een paar duizend mobiele apps lekken aanzienlijk gevoelige gegevens, waaronder persoonlijke informatie over gezondheid, leesbare wachtwoorden en financiële transacties, hebben onderzoekers vastgesteld.
Mobiele beveiligingsbedrijf Appthority vermeld het lekken van deze week, het pinnen van de schuld op de app-ontwikkelaars die niet hebben om goed te verifiëren aan de Google Firebase cloud database. Firebase is een mobiele-en web applicatie platform overgenomen door Google in 2014. Het platform is bedoeld om de ontwikkeling van apps makkelijker door het doen van veel van de “heavy lifting” voor de codeurs.
Meer dan 3.000 apps—meest op Android, maar op zijn minst 600 op iOS—opslaan van gegevens onjuist geconfigureerde Firebase databases blootgesteld online, de onderzoekers gezegd.
Voorbeelden van blootgestelde gegevens verstrekt door Appthority zeer gevoelige informatie, zoals financiële gegevens, medewerker medische administratie, leesbare wachtwoorden van de meer dan 150 corporate domeinen ‘ cloud infrastructuur referenties, geheime sleutels te Amazon cloud servers, en “meer dan 40 adressen van de server met root leesbare wachtwoorden.”
Per Appthority, een duizelingwekkende hoeveelheid gegevens aan het licht: ongeveer vier miljoen in verband met de gezondheid van records, met inbegrip van voorgeschreven gegevens; 25 miljoen GPS-locatie records; 50 duizend van de financiële administratie, waaronder het bankwezen, de betaling en de Bitcoin transacties; en 4,5 miljoen Facebook, LinkedIn, Firebase en zakelijke gegevens van gebruikers opslaan-tokens.
Onnodig te zeggen, in de verkeerde handen, de rijkdom van vertrouwelijke gegevens vormt een ernstige bedreiging voor bedrijven en consumenten, via het netwerk infiltratie of de diefstal van de persoonlijke identiteit of geheime bedrijfsinformatie.
“Deze niet-nakoming door de ontwikkelaars goed beveiligen hun Google Firebase databases is een belangrijke en kritische mobiele kwetsbaarheid bloot van grote hoeveelheden gevoelige data,” zei Seth Hardy, Appthority directeur van het veiligheidsonderzoek. “Het grote aantal kwetsbare apps en de verscheidenheid van de gegevens toont aan dat bedrijven niet kunnen vertrouwen op ontwikkelaars van mobiele apps, de app store wordt gecontroleerd of eenvoudige malware scans aan het adres van de beveiliging van gegevens.”
Google biedt gedetailleerde informatie over real-time gebruik van Firebase en security regels voor cloud-opslag, alsmede de regels voor Firestore, de document-database voor mobiele ontwikkelaars die gebruik maken van Google ‘ s cloud platform.
App-ontwikkelaars, je moet wel lezen.
Kreeg je een tip? E-mail de verslaggever: dell@gizmodo.com