Firebase是Google在2014年收購(gòu)的移動(dòng)平臺(tái)，可讓用戶(hù)快速安全地開(kāi)發(fā)應(yīng)用程序。將其視為許多開(kāi)發(fā)人員首選的應(yīng)用程序生產(chǎn)平臺(tái)。它使用位于云中的實(shí)時(shí)數(shù)據(jù)庫(kù)，可用于輕松存儲(chǔ)用戶(hù)之間的數(shù)據(jù)并使其同步。這使得跨平臺(tái)協(xié)作成為孩子們的游戲，將無(wú)服務(wù)器應(yīng)用程序的開(kāi)發(fā)面向公眾，并且用戶(hù)的安全性可以得到保障。

如果是這樣，開(kāi)發(fā)人員將首先安全地配置所有內(nèi)容。 Comparitech的最新研究表明，Google Firebase數(shù)據(jù)庫(kù)的常見(jiàn)錯(cuò)誤配置正在向想要查找的任何人公開(kāi)敏感信息，包括密碼，電話號(hào)碼和聊天消息。 這是您需要知道的。

由鮑勃·迪亞琴科(Bob Diachenko)領(lǐng)導(dǎo)的Comparitech安全研究小組分析了Google Play商店中515,735個(gè)Android應(yīng)用的樣本。 其中155,066個(gè)使用Firebase。 Diachenko確認(rèn)從使用Firebase的示例中，大約有11,730個(gè)應(yīng)用程序公開(kāi)暴露了Firebase數(shù)據(jù)庫(kù)。

進(jìn)一步深入研究，9014包括必要的寫(xiě)權(quán)限，以使?jié)撛诘墓粽吣軌蛐薷臄?shù)據(jù)，包括添加或刪除數(shù)據(jù)，以及僅查看或下載數(shù)據(jù)。 Comparitech的分析顯示有4282個(gè)應(yīng)用程序正在泄漏敏感信息。

根據(jù)該報(bào)告，暴露的數(shù)據(jù)包括超過(guò)700萬(wàn)個(gè)電子郵件地址，以及幾乎相同數(shù)量的聊天消息。 然后是要考慮的440萬(wàn)用戶(hù)名和100萬(wàn)密碼，以及500萬(wàn)電話號(hào)碼。

所有這些都足夠令人擔(dān)憂(yōu)，因?yàn)檫@些數(shù)字很大，但是必須從某種角度看待它們。 據(jù)估計(jì)，到2020年3月，超過(guò)150萬(wàn)個(gè)應(yīng)用程序在Android和iOS上使用Firebase平臺(tái)。即使從分析數(shù)據(jù)中推斷出，Comparitech所做的工作也已達(dá)到24,000個(gè)潛在泄漏敏感數(shù)據(jù)的Android應(yīng)用程序。 通過(guò)此類(lèi)配置錯(cuò)誤，這僅占使用Firebase的所有應(yīng)用程序的1.6%，占可從Google Play本身下載的所有應(yīng)用程序的0.94%。

通過(guò)首先在應(yīng)用程序資源中搜索表示Firebase使用情況的文本字符串，Comparitech研究人員能夠發(fā)現(xiàn)公開(kāi)暴露數(shù)據(jù)庫(kù)的應(yīng)用程序。 從那里，通過(guò)Firebase REST API訪問(wèn)具有已啟用.json的公共數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)URL附加請(qǐng)求，以存儲(chǔ)數(shù)據(jù)。 研究人員希望獲得訪問(wèn)被拒絕的響應(yīng)，因?yàn)檫@將表明存在非公開(kāi)曝光，但是如報(bào)告所示，他們最終卻過(guò)于頻繁地返回了完整的數(shù)據(jù)庫(kù)內(nèi)容。 然后，研究人員尋找敏感信息，這些信息經(jīng)過(guò)人工檢查是否為假陽(yáng)性。

研究人員說(shuō)：“所有訪問(wèn)的數(shù)據(jù)都被破壞了，確保研究完全符合白帽標(biāo)準(zhǔn)和程序?！? 為了揭示對(duì)數(shù)據(jù)庫(kù)的任何寫(xiě)訪問(wèn)權(quán)限，使用了一個(gè)PUT請(qǐng)求來(lái)創(chuàng)建一個(gè)新節(jié)點(diǎn)，然后將其刪除。

與所有可追溯到配置錯(cuò)誤的泄漏數(shù)據(jù)庫(kù)問(wèn)題一樣，緩解建議聽(tīng)起來(lái)很簡(jiǎn)單：第一次正確設(shè)置數(shù)據(jù)庫(kù)配置。不幸的是，事情很少像它們初看起來(lái)那樣簡(jiǎn)單。

因此，可以肯定的是，在實(shí)施適當(dāng)?shù)臄?shù)據(jù)庫(kù)規(guī)則并防止未經(jīng)授權(quán)的訪問(wèn)訪問(wèn)敏感數(shù)據(jù)的情況下，研究人員提供的緩解建議是正確的。 建議應(yīng)用程序開(kāi)發(fā)人員遵循Google Firebase文檔中規(guī)定的“安全和規(guī)則”準(zhǔn)則，這很容易，但事實(shí)并非如此。

一次又一次地證明了這一點(diǎn)，各種在線數(shù)據(jù)庫(kù)配置錯(cuò)誤，導(dǎo)致數(shù)據(jù)報(bào)告被公開(kāi)泄漏。 確實(shí)，在今年早些時(shí)候，據(jù)報(bào)道，驚人的82%的安全“漏洞”是由于一種或另一種錯(cuò)誤配置錯(cuò)誤引起的。

Comparitech研究人員于4月22日使Google意識(shí)到了該報(bào)告的發(fā)現(xiàn)，并收到以下聲明作為回應(yīng)：

“ Firebase提供了許多功能，可幫助我們的開(kāi)發(fā)人員安全地配置其部署。 我們向開(kāi)發(fā)人員提供有關(guān)其部署中可能存在的錯(cuò)誤配置的通知，并提供糾正建議。 我們正在與受影響的開(kāi)發(fā)人員聯(lián)系，以幫助他們解決這些問(wèn)題?！?