Hơn 4.000 ứng dụng Android để lộ thông tin người dùng

[Gấu]

Hơn 4.000 ứng dụng Android sử dụng cơ sở dữ liệu Firebase được lưu trữ trên nền tảng cloud của Google, đã làm rò rỉ thông tin nhạy cảm của người dùng, bao gồm địa chỉ email, tên người dùng, mật khẩu, số điện thoại, tin nhắn và vị trí.

Bob Diachenko của nhóm nghiên cứu Security Discovery đã hợp tác với công ty Comparitech để đưa ra kết quả điều tra này sau khi phân tích 15.735 ứng dụng Android, chiếm khoảng 18% so với tổng số ứng dụng trên Google Play store.

“4,8% ứng dụng sử dụng Google Firebase lưu trữ thông tin không được bảo vệ, bất kỳ ai cũng có thể truy cập vào cơ sở dữ liệu xem thông tin người dùng, truy cập token, mật khẩu...mà không cần mật khẩu hoặc bất kỳ quá trình xác thực nào”, Comparitech cho biết.

Được Google mua lại vào năm 2014, Firebase là nền tảng phát triển ứng dụng di động phổ biến, cung cấp nhiều công cụ để giúp bên thứ 3 xây dựng ứng dụng, lưu trữ dữ liệu và file một cách an toàn, khắc phục sự cố và thậm chí tham gia với người sử dụng thông qua tính năng messaging trên ứng dụng.

Những ứng dụng dễ bị tấn công - chủ yếu là các ứng dụng trò chơi, giáo dục, giải trí và danh mục kinh doanh - được cài đặt 4.22 tỷ lần bởi các người dùng Android. Comparitech cho biết: "Rất có thể quyền riêng tư các người dùng Android đã bị xâm phạm bởi ít nhất một ứng dụng."

Firebase là một công cụ đa nền tảng, các nhà nghiên cứu cảnh báo rằng cấu hình sai cũng có thể ảnh hưởng tới IOS và ứng dụng web.

Tất cả nội dung cơ sở dữ liệu của 4,282 ứng dụng, bao gồm:

• Địa chỉ email: 7.000.000+
• Tên đăng nhập: 4.400.000+
• Mật khẩu: 1.000.000+
• Số điện thoại: 5.300.000+
• Tên đầy đủ: 18.300.000+
• Tin nhắn trò chuyện: 6.800.000+
• Dữ liệu GPS : 6.200.000+
• Địa chỉ IP: 156.000+
• Địa chỉ đường: 560.000+

Diachenko tìm thấy cơ sở dữ liệu bị lộ thông qua các REST API của Firebase được dùng để truy cập dữ liệu được lưu trữ trên các vùng không được bảo vệ. Chúng được trả về với định dạng JSON, bằng cách đơn giản thêm "/.json" vào một URL cơ sở dữ liệu (ví dụ: "https://~project_id~.firebaseio.com/.json")

Ngoài 155.066 ứng dụng có dữ liệu bị lộ được công khai, các nhà nghiên cứu cũng đã tìm ra 9.014 ứng dụng có quyền ghi, do đó có thể cho phép kẻ tấn công inject các dữ liệu độc hại và làm hỏng cơ sở dữ liệu, thậm chí phát tán phần mềm độc hại.

Phức tạp hơn là việc đánh index của các URL cơ sở dữ liệu Firebase bởi các công cụ tìm kiếm như Bing, đã để lộ các điểm cuối có lỗ hổng cho bất kỳ người dùng nào trên Internet. Tuy nhiên, công cụ tìm kiếm Google không trả về dữ liệu.

Sau khi được báo cáo vào ngày 22 tháng 4, Google cho biết sẽ liên hệ với các nhà phát triển bị ảnh hưởng để khắc phục các vấn đề.

Đây không phải là lần đầu tiên cơ sở dữ liệu Firebase bị rò rỉ thông tin cá nhân. Các nhà nghiên cứu từ công ty bảo mật di động Appthority đã phát hiện vấn đề tương tự vào hai năm trước, dẫn đến việc lộ lọt 100 triệu hồ sơ dữ liệu.

Cơ sở dữ liệu bị lộ ra mà không cần bất kỳ một xác thực nào là "miếng mồi ngon" cho những kẻ có ý đồ xấu. Do đó, các nhà phát triển ứng dụng nên tuân thủ các quy tắc cơ sở dữ liệu của Firebase để bảo mật dữ liệu và ngăn chặn truy cập trái phép.

Người dùng được khuyến cáo chỉ sử dụng các ứng dụng đáng tin cậy và thận trọng trong việc chia sẻ thông tin trên ứng dụng.

Nguồn: thehackernews.com​