Apple, mobil cihazlarının yazılım yüklemek için bir uygulama mağazasını kullanacağını duyurduğunda, çoğu bunun güvenlik sorunlarının büyük bir bölümünü sona erdireceğine inanıyordu bilgi işlem. Google aynı modeli Android için benimsedi ve Microsoft onu Windows 8'de masaüstüne getirdi.
Aslında Steve Jobs'un fikri yeni değildi. Uygulama mağazaları, Linux kullanıcılarının yıllardır kullandıkları paket yöneticilerinden başka bir şey değildir. Y, çok fazla hizmet ettiği için değil.
Bir kaç gün önce, Yayınlandı bir grup araştırmacının raporu 515,735 Google Play uygulaması analiz edildi, mevcut teklifin% 18'i gibi bir şey. Bunların, en az 4.282 uygulamanın güvenlik sorunları vardı hassas bilgilerin filtrelenmesine izin verir. Ekstrapolasyon geçerli olsaydı, toplam 24000 uygulama aynı sorunu ortaya çıkaracaktır.
Tüm başarısızlıklar var ortak bir köken; Firebase adlı Google'a ait bir platform. Ancak, Google’ın suçu değil gibi görünüyor geliştiricilerin yapılandırma hataları.
Firebase kullanıcıların uygulamaları hızlı ve güvenli bir şekilde geliştirmelerine yardımcı olan bir mobil platform. Verilerin kullanıcılar arasında kolay depolanmasına ve senkronizasyonuna olanak tanıyan, bulutta barındırılan gerçek zamanlı bir veritabanı sunar.
Platform, diğer şeylerin yanı sıra, geliştiricilere şu araçları sağlar:
- Kimlik doğrulama.
- Konaklama.
- Bulut depolama.
- Gerçek zamanlı veritabanları.
- Analitik.
- İletiler.
- Bildirimlerin entegrasyonu.
- Makine öğrenme.
Firebase'in Google Play Store'daki tüm uygulamaların yüzde 30'u tarafından kullanılıyor, Android uygulamaları için en popüler depolama çözümü haline getiriyor.
Android uygulama güvenliği. Sayılardaki sorun
Mobil uygulamaların% 4,8'i kullanıcı verilerini depolamak için Google Firebase kullanan, düzgün bir şekilde korunmuyor, bu da pherkesin, kullanıcıların kişisel bilgilerini içeren veritabanlarına erişmesine izin verir, belirteçlere ve diğer verilere parola veya başka herhangi bir kimlik doğrulama türü gerekmeden erişmek için.
Çalışma Google Play Store'daki Android uygulamalarına odaklanmış olsa da, Firebase'in çeşitli işletim sistemlerinde ve platformlarda kullanılan bir çapraz platform aracı olduğunu unutmayın. Bu yanlış yapılandırmalar büyük olasılıkla Android'in ötesinde çok daha fazla uygulamayı etkiliyor.
Araştırmacılar tarafından tespit edilen güvenlik sorunları olan uygulamalar Android kullanıcıları tarafından en az 4.220 milyar kez yüklendi. Bir akıllı telefonda 60 ila 90 uygulamanın kurulu olduğu biliniyor, bu da şu anlama geliyor: her birimizin en az bir savunmasız uygulamaya sahip olma şansı yüksektir.
Maruziyetlerin büyüklüğünün bir örneğine sahip olmak için şu verilere sahibiz:
- +7000000 e-posta hesapları.
- +4400000 kullanıcı adı.
- +1000000 şifre.
- +5300000 telefon numaraları.
- +18300000 tam kullanıcı adı.
- +6800000 sohbet mesajı.
- +6200000 GPS verisi.
- +156000 IP adresi.
- +560000 sokak adresi.
Analiz edilen 155.066 uygulamadan 1'i1.730 kamuya açık veritabanlarına sahipti. 9.014 tanesi dahil bir saldırganın sunucudaki verileri eklemesine, değiştirmesine veya silmesine, ayrıca görüntülemesine ve indirmesine olanak tanıyan yazma.
- Bu güvenlik açıkları siber suçlulara izin verir.
- Verileri bir uygulamaya enjekte edin.
- Uygulamaları kimlik avı uygulamaları için kullanın.
- Kötü amaçlı yazılımı yayın.
- Uygulama veritabanını bozun.
Suçlular için işleri kolaylaştırmak için, bu veritabanları arama motorlarında bulunabilir
Geçen Aralık, bir güvenlik araştırmacısı açığa çıkan Google Firebase veritabanlarının başka şirketler tarafından çalıştırılan arama motorlarında bulunabileceğini keşfetti.
Bağımsız bir güvenlik araştırmacısı ve siber güvenlik danışmanlık firması Bishop Fox'ta eski bir analist olan Alex "Ghostlulz" Thomas, Aralık ayında, en yapılandırılmış Firebird veritabanlarının nasıl bulunabileceği ve indirilebileceği. Bunları görmek için url'nin sonuna .json eklemeniz yeterlidir.
Kullanıcılar olarak kendimizi korumak için bazı önlemler alabiliriz:
- Aynı parolayı birden fazla hesapta tekrar kullanmayın. Güçlü rastgele parolalar oluşturmak ve saklamak için bir parola yöneticisi kullanmanız önerilir.
- Yalnızca çok sayıda yama ve yüklemeye sahip güvenilir uygulamaları kullanın.
- Adresler, resmi kimlik fotoğrafları, sosyal güvenlik numaraları vb. Gibi hassas kişisel bilgileri paylaşmayın.