Foto: Getty
Takket være dårlig sikret backend databaser, et par tusen mobile apps lekker en overflod av sensitive data, inkludert personlige helse informasjon, passord i klartekst, og finansielle transaksjoner, ifølge forskere.
Mobile security fast Appthority offentliggjort lekkasjer denne uken, låsing skylden på app-utviklere som har unnlatt å riktig godkjennes av Google Firebase cloud database. Firebase er en mobil og web application platform kjøpt opp av Google i 2014. Plattformen er ment å gjøre app utvikling enklere ved å gjøre mye av den “tunge løft” for programmerere.
Mer enn 3000 apps—mest på Android, men minst 600 på iOS—er for å lagre data for å feilkonfigurert Firebase databaser utsatt online, forskerne sa.
Eksempler på utsatt data levert av Appthority inkluderer vesentlig sensitiv informasjon, som for eksempel økonomiske data, ansatt medisinske journaler, “passord i klartekst fra over 150 bedriftens domener,” infrastruktur cloud legitimasjon, hemmelig tilgang til nøklene til Amazon cloud servere, og “mer enn 40 server adresser med root-passord i klartekst.”
Per Appthority, en svimlende mengde data som er utsatt: omtrent fire millioner kroner helse-relaterte oppføringer, inkludert reseptbelagte detaljer; 25 millioner GPS-posisjon poster; 50 tusen finansielle poster, inkludert bank, betaling og Bitcoin transaksjoner, og 4,5 millioner Facebook, LinkedIn, Firebase, og bedriftens data butikken bruker symboler.
Unødvendig å si, i gale hender, kan dette vell av konfidensielle data utgjør en alvorlig trussel mot bedrifter og forbrukere, det være seg via nettverk infiltrasjon eller tyveri av personlige identitet eller fortrolig informasjon.
“Dette unnlatelse av utviklere for å sikre riktig deres Google Firebase databaser er en viktig og kritisk mobile sårbarhet utsette store mengder sensitive data,” sa Seth Hardy, Appthority direktør for sikkerhetsforskning. “Det store antallet av sårbare apps og et bredt utvalg av data viser at foretak ikke kan stole på mobile app-utviklere, app store klarering eller enkle malware skanner for å løse data sikkerhet.”
Google gir detaljert dokumentasjon på real-time bruk av Firebase og sikkerhetsregler for lagring i skyen, så vel som sikkerhet regler for Firestore dokumentet database for mobile utviklere som bruker Googles cloud-plattform.
App-utviklere, du bør nok lese dem.
Fikk et tips? E-reporteren: dell@gizmodo.com