پلتفرم Firebase که به گوگل تعلق دارد از محبوبیت زیادی نزد توسعه دهندگان برای توسعه اپلیکیشن برخوردار است. حالا محققان امنیتی موسسه Comparitech از درز اطلاعات بالغ بر ۴ هزار اپلیکیشن اندرویدی خبر داده اند و این اتفاق ظاهرا به خاطر پیکربندی نادرست در دیتابیس Firebase رخ داده است.
طبق آمارها حدود سی درصد از تمامی اپلیکیشن های گوگل پلی استور از Firebase استفاده می کنند و از تمامی اپلیکیشن های اندرویدی که از این پلتفرم برای ذخیره سازی دیتای خود کمک می گیرند، ۴.۸ درصدشان ایمن نیستند. این اپ ها اجازه دسترسی دیگران به اطلاعات کاربرانشان و ویرایش آنها را میسر می کنند.
محققان امنیتی مجموعا ۵۱۵۷۳۵ اپلیکیشن اندرویدی را در پلی استور گوگل بررسی کردند و متوجه شدند که از این تعداد ۱۵۵۰۶۶ موردشان از پلتفرم Firebase استفاده می کنند و ۴۲۸۲ عدد از آنها اطلاعات حساس کاربران خود را در معرض دسترسی دیگران قرار داده اند. جالب آنکه ۹۰۱۴ اپلیکیشن حتی مجوزهای لازم برای خواندن و نوشتن دیتا را در اختیار افراد سودجو قرار می دهند که به کمک آنها هرکسی میتواند دیتای مورد نظرش را به سرور اضافه کرده یا از آن پاک نماید.
بازی ها و اپلیکیشن های آموزشی ظاهرا ۴۰ درصد از اپ های ناامنی را تشکیل می دهند که اطلاعات کاربران خود را در معرض دسترسی دیگران قرار داده اند. به لطف این آسیب پذیری آدرس ایمیل، نام کاربری، پسورد، شماره موبایل، دیتای جی پی اس، آدرس سکونت و بسیاری موارد دیگر بدون احراز هویت قابل دانلود خواهند بود.
طبق اعلام شرکت Comparitech همه افراد میتوانند با اضافه کردند json به URL فایربیس به این دیتابیس ها دسترسی پیدا کنند. البته گوگل نمایش آدرس این دیتابیس ها را در نتایج جستجو متوقف کرده است اما همچنان این یو آر ال ها توسط دیگر موتورهای جستجو ایندکس می شوند.
اما نکته قابل تامل آنکه در این گزارش صرفا به دیتای لو رفته از اپلیکیشن های موجود در پلی استور گوگل اشاره شده است. این در حالی است که توسعه دهندگان نرم افزار در دیگر سیستم عامل ها نیز از فایربیس استفاده می کنند. به همین خاطر تعداد اپ هایی که تحت تاثیر پیکربندی اشتباه دیتابیس قرار می گیرند رقمی فراتر از ۲۴ هزار عدد خواهد بود.
محققان همچنین اعلام کردند که کاربرهای موبایل به طور متوسط بین ۶۰ تا ۹۰ اپ را روی موبایل خود نصب می کنند و در نتیجه احتمال آنکه یکی ز این اپ های آسیب پذیر در در میان آنها باشد بسیار بالا خواهد بود.
این گزارش حدودا ۲۰ روز پیش در اختیار گوگل قرار گرفت و یکی از سخنگویان گوگل در واکنش به آن چنین گفت:
ما هشدارهای لازم در مورد پیکره بندی اشتباه در اپ ها را به توسعه دهندگان می دهیم و پیشنهاداتی را هم برای تصحیح آنها ارائه میکنیم. ما تماس هایی را هم با توسعه دهندگان تحت تاثیر این آسیب پذیری برقرار کرده ایم تا برای رفع مشکل به آنها کمک کنیم.
تمامی این اتفاقات بر اهمیت انتخاب پسوردهای متفاوت برای لاگین به وبسایت ها یا اپ های مختلف صحه می گذارند چراکه اگر دیتای مربوط به یکی از اپ های مورد استفاده شما در اختيار هکرها قرار بگیرند آنها میتوانند از همان پسورد برای دسترسی به دیگر حساب های شخصی شما نیز استفاده نمایند.
پاسخ ها