当苹果宣布其移动设备将使用应用商店作为安装软件的方式时, 许多人认为这将解决大部分安全问题 计算。 Google在Android上采用了相同的模型,而Microsoft在Windows 8中将其引入了台式机。
实际上,史蒂夫·乔布斯(Steve Jobs)的想法并不新鲜。 应用程序商店不过是Linux用户使用多年的软件包管理器而已。 是的 不是说它服务太多了。
几天前 发表了 一群研究人员的报告 分析了515,735个Google Play应用,大约占可用报价的18%。 那些, 至少4.282个应用存在安全问题 这样就可以过滤敏感信息。 如果推断是有效的, 总共24000个应用程序会出现相同的问题.
所有缺陷都有 共同的起源; Google拥有的名为Firebase的平台。 但是,如果不是,那似乎不是Google的错 开发人员的配置错误.
火力基地是 一个可帮助用户快速安全地开发应用程序的移动平台。 它提供了托管在云中的实时数据库,可轻松存储用户之间的数据并进行同步。
除其他外,该平台为开发人员提供了以下工具:
- 验证。
- 住宿。
- 云储存。
- 实时数据库。
- 分析。
- 消息。
- 整合告示。
- 机器学习。
估计是Firebase 被Google Play商店中所有应用程序的30%使用, 这使其成为最受欢迎的Android应用程序存储解决方案。
Android应用程序安全性。 数字问题
4,8%的移动应用 使用Google Firebase存储用户数据的计算机没有得到适当的保护,允许任何人访问包含用户个人信息的数据库,无需密码或任何其他类型的身份验证即可访问令牌和其他数据。
尽管这项研究的重点是Google Play商店中的Android应用程序, 请记住,Firebase是跨平台的工具,可在各种操作系统和平台上使用。 这些错误配置可能会影响除Android之外的更多应用程序。
研究人员发现存在安全问题的应用程序 Android用户安装了至少4.220亿次。 已知智能手机已安装60至90个应用程序,这意味着 我们每个人都有很大的机会拥有至少一个易受攻击的应用程序。
要获得曝光量的样本,我们有以下数据:
- +7000000个电子邮件帐户。
- +4400000用户名。
- +1000000个密码。
- +5300000电话号码。
- +18300000用户的全名。
- +6800000聊天消息。
- +6200000 GPS数据。
- +156000 IP地址。
- +560000街道地址。
在分析的155.066个应用程序中,有1个1.730个具有公开暴露的数据库。 其中甚至包括9.014个 写入,这将使攻击者可以从服务器添加,修改或删除数据,以及查看和下载数据。
- 这些漏洞将允许网络犯罪分子。
- 将数据注入到应用程序中。
- 使用应用程序进行网络钓鱼。
- 传播恶意软件。
- 损坏应用程序数据库。
为了使罪犯更轻松, 这些数据库可以在搜索引擎中找到
去年十二月,一名安全研究员 发现可以在其他公司运营的搜索引擎上找到公开的Google Firebase数据库。
独立安全研究员,网络安全咨询公司Bishop Fox的前分析师Alex“ Ghostlulz” Thomas在XNUMX月发布了一篇博客文章,展示了 如何找到并下载配置最多的Firebird数据库。 只需在网址末尾添加.json即可查看它们。
作为用户,我们可以采取一些措施来保护自己:
- 不要在多个帐户中重复使用相同的密码。 建议使用密码管理器来生成和存储强随机密码。
- 仅使用具有大量补丁程序和安装的受信任应用程序。
- 请勿共享敏感的个人信息,例如地址,政府身份证照片,社会保险号等。