数以千计的移动应用程序暴露了其未受保护的Firebase托管数据库

谷歌的Firebase服务是移动和web应用程序最流行的后端开发平台之一，它为开发者提供基于云的数据库，以JSON格式存储数据，并与所有连接的客户端实时同步。

移动安全公司AppAuthy的研究人员发现，许多应用程序开发人员未能通过防火墙和身份验证正确保护其后端Firebase端点，导致任何人都可以公开访问其客户的数百GB敏感数据。

由于Firebase为应用程序开发人员提供了一个API服务器（如下所示）来访问其使用该服务托管的数据库，攻击者只需在主机名末尾添加带有空白数据库名的“/.json”即可访问未受保护的数据。

为了找出这个问题的严重程度，研究人员扫描了270多万个应用程序，发现超过3000个应用程序—；2446个安卓和600个iOS应用程序—；泄露了2300个数据库，超过1亿条记录，这是对超过113G数据的巨大破坏。

单是易受攻击的Android应用程序就被下载了6.2亿次。

受影响的应用属于多个类别，如电信、加密货币、金融、邮政服务、乘车共享公司、教育机构、酒店、生产力、健康、健身、工具等。

研究人员还简要分析了他们从易受攻击的应用程序下载的数据，如下所示。

• 260万个明文密码和用户ID
• 400多万个PHI（受保护的健康信息）记录（聊天信息和处方详细信息）
• 2500万个GPS定位记录
• 50000份财务记录，包括银行、支付和比特币交易
• 超过450万个Facebook、LinkedIn、Firebase和企业数据存储用户代币。

研究人员称，这一切之所以发生，首先是因为谷歌Firebase服务在默认情况下不保护用户数据，这要求开发人员在所有数据库行和表上明确实施用户身份验证，以保护其数据库免受未经授权的访问。

研究人员解释说：“开发者唯一可用的安全功能是身份验证和基于规则的授权。”。更糟的是什么？没有“可用于为其提供加密的第三方工具”

研究人员已经联系了谷歌，并提供了所有易受攻击的应用程序数据库的列表，还联系了一些帮助他们解决这个问题的应用程序开发人员。