何百万ものパスワード、GPS 位置情報、財務記録が保護されずに人目につく場所に放置されており、あなたのものもその 1 つである可能性があります。
モバイル セキュリティ会社 Appthority の研究者は、ユーザー データの保存に Firebase データベースを使用する Android と iOS の両方のモバイル アプリをスキャンしました。初心者のために説明すると、Firebase は、モバイルおよび Web アプリケーション用の人気のあるクラウドベースのバックエンド プラットフォームです。その会社はGoogleに買収された2014 年に遡るため、トップ Android 開発者の中に実際のユーザー ベースがあることがわかります。
モバイルセキュリティ研究者が発見した憂慮すべき事実
彼らのために報告, Appthority は、iOS と Android の両方で 270 万以上のモバイル アプリを調査しました。その研究者らは、Firebase のバックエンド データベース システムにアプリのデータを保存している 27,227 個の Android アプリと 1,275 個の iOS アプリのうち、これらのアプリのうち 3,046 個が、文字通り誰でもアクセスできる 2,271 個の安全でないデータベース内にデータを保存していることを発見しました。このデータを誰でも閲覧できるように公開して保存しているアプリのうち、2,446 は Android 上にあり、残りの 600 は iOS アプリケーションです。
では、世界中が見られるように、ここにはっきりと保存されているものは一体何でしょうか?これらすべての脆弱なアプリケーションのうち、流出したデータには、平文の 260 万件のユーザー ID とパスワード、保存されている 2,500 万件の GPS 位置情報記録、5 万件のアプリ内金融取引記録、および 450 万件以上のソーシャル メディア プラットフォーム ユーザー トークンが含まれています。流出したその他のデータには、プライベートチャットや処方記録を含む 400 万件を超える PHI (健康情報保護) 記録が含まれます。
マッシュ可能な光の速度
合計 1 億件を超える個別の記録、合計 113 ギガバイトを超えるデータが、この侵害に関与したアクセス可能な情報を構成しています。影響を受けた Android アプリは、Google Play ストアから 6 億 2,000 万回以上ダウンロードされました。
誰もがこの個人データにどれほど簡単にアクセスできるのでしょうか?レポートによると、脆弱な Firebase バックエンドはファイアウォールや認証システムによって保護されていません。これらのセキュリティで保護されていないデータベースに侵入するには、「ハッカー」がホスト名の末尾に空のデータベース名を付けて「/.json」を追加するだけです (たとえば、「https://appname.firebaseio.com/」)。 .json」)。
研究者らは、このレポートを発表する前にGoogleに問い合わせたと指摘している。彼らは、アプリ開発者自身に連絡を取るとともに、安全でないアプリの完全なリストをGoogleに提供したと述べた。脆弱なアプリのリストは公開されていないが、メッセージングや金融から健康、旅行に至るまでのカテゴリのアプリが含まれている。これらの影響を受けるアプリの背後にある企業または作成者は世界中にいます。
この事件とともにと 無数の その他は、私たちの最もプライベートな個人データを保管する企業にはまだ多くの要望が残っていることを証明し続けています。
更新: 2018 年 7 月 2 日午後 1 時 (東部夏時間)Google の担当者から最新情報を提供するよう連絡がありました。 2017 年 12 月、Google はすべての安全でないプロジェクトに、セキュリティ ルールを有効にする方法を記載したメールを送信しました。データベースへのパブリック アクセスを許可するには、開発者がセキュリティ ルールをオフにする必要があります。 Firebase はデフォルトでデータベースを保護します。