Foto: Getty
Tak til dårligt sikret backend-databaser, et par tusinde mobile apps er utætte en overflod af følsomme oplysninger, herunder helbredsoplysninger, alm passwords, og finansielle transaktioner, ifølge forskerne.
Mobile security firma Appthority afsløret utætheder i denne uge, pinning skylden på app-udviklere, der har undladt at godkende til Google Firebase cloud-database. Firebase er en mobil og web application platform opkøbt af Google i 2014. Platformen er beregnet til at gøre app udvikling lettere ved at gøre meget af den “tunge løft” til kodere.
Mere end 3.000 apps—mest på Android, men på mindst 600 på iOS—er at gemme data på forkert Firebase databaser udsat online, siger forskerne.
Eksempler på synlige data fra Appthority omfatter væsentligt følsomme oplysninger, såsom finansielle data, medarbejder lægejournaler, “alm passwords fra over 150 virksomhedens domæner,” infrastruktur cloud legitimationsoplysninger, hemmelige access keys til Amazon cloud-servere, og “mere end 40 server-adresser med rod plaintext password.”
Per Appthority, en overvældende mængde af data, der er udsat for: omkring fire millioner sundhedsrelaterede registre, herunder receptpligtig detaljer; 25 millioner GPS-optegnelser; 50 tusind finansielle poster, herunder bank, betaling og Bitcoin transaktioner; og 4,5 millioner Facebook, LinkedIn, Firebase, og virksomhedernes data butik bruger tokens.
Det er overflødigt at sige, i de forkerte hænder, dette væld af fortrolige data, som udgør en alvorlig trussel for virksomheder og forbrugere, uanset om det er via netværk infiltration eller tyveri af personlig identitet eller proprietære virksomhedernes oplysninger.
“Denne fiasko af udviklere at korrekt sikre deres Google Firebase databaser er en væsentlig og kritisk mobile sårbarhed udsætte store mængder af følsomme data,” sagde Seth Hardy, Appthority direktør for forskning i sikkerhed. “Det store antal af udsatte apps og den brede vifte af data viser, at virksomheder ikke kan stole på mobil-app-udviklere, app store undersøgelse eller en simpel malware scanner til at løse datasikkerhed.”
Google giver detaljeret dokumentation om real-time brug af Firebase og sikkerhed, regler for cloud storage, samt sikkerheds-regler for Firestore, dokumentet database for mobile udviklere, der bruger Googles cloud-platform.
App-udviklere, og du bør nok læse dem.
Har du et tip? E-mail-reporter: dell@gizmodo.com