هزاران برنامه تلفن همراه پایگاه‌های داده میزبانی Firebase محافظت نشده خود را در معرض افشا قرار دادند.

محققان امنیتی موبایل، پایگاه‌های اطلاعاتی حفاظت نشده Firebase را از هزاران برنامه iOS و اپلیکیشن موبایل اندرویدی کشف کرده‌اند که درنتیجه آن بیش از ۱۰۰ میلیون داده ذخیره‌شده در معرض افشا قرار داده شده است. این داده‌ها شامل کلمه عبور متن واضح، شناسه‌های کاربری، محل سکونت و در برخی موارد، سوابق مالی مانند معاملات بانکی و معاملات رمزنگاری‌شده می‌شوند.

سرویس Firebase گوگل یکی از محبوب‌ترین پلتفرم‌های توسعه پایدار^(۱) برای برنامه‌های کاربردی تلفن همراه و وب است که به توسعه‌دهندگان، پایگاه‌های داده مبتنی بر ابر^(۲) را ارائه می‌دهد که داده‌ها را در قالب JSON ذخیره می‌کند و در زمان واقعی با تمام مشتری‌های متصل شده به آن همگام‌سازی^(۳) انجام می‌دهد.

محققان شرکت امنیت موبایل Appthority، کشف کرده‌اند که بسیاری از توسعه‌دهندگان برنامه‌ها نتوانسته‌اند به‌درستی نقاط پایان^(۴) back-end از Firebase خود را توسط فایروال‌ها و سیستم‌های احراز هویت ایمن کنند و صدها گیگابایت اطلاعات حساس مشتریان خود را به‌طور عمومی برای هر کسی در دسترس قرار دادند.

ازآنجایی‌که Firebase به توسعه‌دهندگان برنامه‌ها یک سرور API ارائه می‌دهد، همان‌طور که در زیر نشان داده شده است، برای دسترسی به پایگاه‌های داده خود که با یک سرویس میزبانی می‌شوند، مهاجمان می‌توانند تنها با اضافه کردن “/.json” به یک نام خالی پایگاه داده در انتهای نام میزبان به داده‌های محافظت نشده دسترسی داشته باشند.

نمونه‌ای از API URL:

https://<Firebase project name>.firebaseio.com/<database.json>

Payload دسترسی:

Data https://<Firebase project name>.firebaseio.com/.json

برای کشف وسعت این مشکل، محققان بیش از ۲٫۷ میلیون برنامه را اسکن کردند و دریافتند که بیش از ۳۰۰۰ برنامه، ۲۴۴۶ برنامه اندرویدی و ۶۰۰ برنامه‌ی iOS  که درمجموع ۲۳۰۰ پایگاه داده را با بیش از ۱۰۰ میلیون پرونده در معرض افشا قرار دادند که این امر منجر به نفوذ به بیش از ۱۱۳ گیگابایت داده خواهد شد.

این برنامه‌های آسیب‌پذیر تحت اندروید به‌تنهایی بیش از ۶۲۰ میلیون بار دانلود شده‌اند.

برنامه‌های آسیب‌دیده متعلق به چندین دسته ازجمله ارتباطات تلفنی، رمزنگاری، مالی، خدمات پستی، سامانه‌های هوشمند حمل‌ونقل، مؤسسات آموزشی، هتل‌ها، بهره‌وری، بهداشت، تناسب‌اندام، ابزار و غیره هستند.

محققان همچنین تجزیه‌وتحلیل مختصری از داده‌های زیر را که از برنامه‌های آسیب‌پذیر دریافت کرده‌اند ارائه کردند.

• ۶ میلیون کلمه عبور متن واضح و شناسه کاربری
• بیش از ۴ میلیون پرونده PHI (اطلاعات بهداشتی حفاظت‌شده، چت‌ها و جزئیات نسخه‌ها)
• ۲۵ میلیون پرونده موقعیت GPS
• ۵۰،۰۰۰ سوابق مالی شامل معاملات بانکی، پرداخت‌ها و تبادلات بیت کوین
• بیش از ۴٫۵ میلیون از داده‌‎های ذخیره‌شده در فیس‌بوک و Firebase

محققین ادعا می‌کنند که این مشکل در همان وهله اول اتفاق می‌افتد زیرا سرویس Firebase گوگل  به‌طور پیش‌فرض داده‌های کاربر را ایمن نمی‌کند و نیاز به توسعه‌دهندگان دارد تا به‌طور صریح احراز هویت کاربر را در تمام ردیف‌ها و جداول پایگاه داده پیاده‌سازی کنند[۱] تا از پایگاه داده‌های خود از دسترسی غیرمجاز محافظت کنند.

محققان توضیح می‌دهند: “تنها ویژگی امنیتی که برای توسعه‌دهندگان در اختیار قرار می‌گیرد، تأیید هویت و مجوز قانونی است. چه چیزی بدتر است؟ هیچ ابزار شخص ثالثی برای ارائه رمزگذاری آن وجود ندارد.”

محققان قبلاً با گوگل ارتباط برقرار کردند و لیستی از تمام پایگاه داده‌های  برنامه‌های آسیب‌پذیر را ارائه کرده‌اند و همچنین با چند توسعه‌دهنده برنامه تماس گرفتند و به آن‌ها کمک کردند تا این مشکل را حل کنند.

منابع

[۱] https://firebase.google.com/docs/database/security/user-security

[۲] https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html

(۱) back-end development
(۲) cloud-based
(۳) synced
(۴) endpoints