聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
尽管多年来一直在警告称不要在未认证的情况下使重要的数据库暴露在网上,但似乎很多 Firebase 管理人员未能理解这些实践的危险性。只需通过一些基本的脚本或搜索查询即可轻松找到网络上的敏感用户数据。
网络安全公司 Avast 在2021年7月开展调查并在上周三发布结果称,在18.03万个数据库中,近1.93万个 Firebase 数据库在未认证的情况下被曝在网上。
Avast 公司的安全研究员 Vladimir Martyanov 表示,“在所测试的数据库中,10.7%的数据库是公开的,因app 开发人员的错误配置,导致数据被暴露给未认证用户。“
Firebase 数据库在2012年开发,是专门用于现代网站和移动 app 后端的实时数据库,是当前最流行的数据库引擎。Firebase 在2014年被谷歌收购,作为基于云的数据存储系统,多数数据库托管在 firebaseio.com 子域名中。
多年来,Firebase 已成为多数安卓和 iOS 应用的必用数据库,主要得益于其几乎能够实时处理海量数据加载的能力。
然而,即使在最初时候,安全研究员就已经发现很多 app 开发人员一直难以配置系统,经常导致用户数据被暴露在网上,可供任何人访问。
2018年开展的一项研究结果显示,3046款 app(2446 款安卓 app和600款 iOS app)通过2271多个配置不当的Firebase数据库暴露了超过113GB 的数据。两年后,随着 Firebase 的流行程度与日俱增,后续调查显示,超过2.4万款安卓应用程序通过 Firebase 后端暴露用户数据,这表明虽然一直在警告,但开发人员仍未认真对待安全。
此外,由于多数数据库托管在 firebaseio.com 域名上,因此不要求密码的数据库也经常被搜索引擎索引,导致任何人仅通过简单的查询即可找到这些系统。虽然谷歌过滤其搜索结果,但其它搜索引擎仍然会显示 Firebase 后端数据,直到今天仍然有低下数据经纪人定期搜刮这些数据。
2016年,谷歌推出高级认证特性;然而,Martyanov 的研究结果显示,仍然还有1.93万个 Firebase 后端暴露在网上。
【开奖啦!!!!!】
上次的限时赠书活动中奖名单已出炉,恭喜以下同学中奖,请微信后台私信地址,本周我们将陆续发送书籍。
@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo
大家可移步京东电子工业出版社一睹为快!
https://item.jd.com/12927539.html 或直接点击“原文链接”购买。
如下是本书相关讲解:
推荐阅读
不小心发现谷歌 Firebase 消息服务的漏洞,获奖3万+美元
严重的 Firebase 漏洞导致大量敏感数据遭泄露 全球62%的企业受影响
原文链接
https://therecord.media/billions-of-devices-impacted-by-new-braktooth-bluetooth-vulnerabilities/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
