Des milliers d’applications mobiles exposent leurs bases de données hébergées Firebase non protégées

Des chercheurs en sécurité mobile ont découvert des bases de données Firebase non protégées de milliers d’applications mobiles iOS et Android qui exposent plus de 100 millions de données, y compris des mots de passe, des identifiants, des localisations et, dans certains cas, des transactions bancaires et cryptographiques.

Le service Firebase de Google est l’une des plates-formes de développement back-end les plus populaires pour les applications mobiles et Web qui offrent aux développeurs une base de données en nuage, qui stocke les données au format JSON et les synchronise en temps réel avec tous les clients connectés.

Les chercheurs de la société de sécurité mobile Appthority ont découvert que de nombreux développeurs d’applications ne parviennent pas à sécuriser correctement leurs points de terminaison Firebase avec pare-feu et authentification, laissant des centaines de gigaoctets de données sensibles de leurs clients accessibles à tous.

Depuis Firebase offre aux développeurs d’applications un serveur API, comme indiqué ci-dessous, pour accéder à leurs bases de données hébergées avec le service, les attaquants peuvent accéder aux données non protégées en ajoutant simplement "/.json" avec un nom de base de données vide à la fin du nom d’hôte.

Exemple d’URL d’API : https: // .firebaseio.com / <database.json>

Charge utile d’accès : Données https: // .firebaseio.com / .json

Pour en connaître l’étendue Les chercheurs ont analysé plus de 2,7 millions d’applications et constaté que plus de 3 000 applications (2 446 Android et 600 iOS) diffusaient 2 300 bases de données contenant plus de 100 millions d’enregistrements, ce qui en faisait une gigantesque violation de plus de 113 gigaoctets de données.

Les applications Android vulnérables ont été téléchargées à elles seules plus de 620 millions de fois.

Les applications concernées appartiennent à plusieurs catégories telles que les télécommunications, la crypto-monnaie, la finance, les services postaux, les sociétés de covoiturage, les établissements d’enseignement, les hôtels, la productivité, la santé, la forme physique, les outils et plus encore.

Les chercheurs ont également fourni une brève analyse, donnée ci-dessous, des données obtenues qu’ils avaient téléchargées à partir d’applications vulnérables.

  • 2,6 millions de mots de passe en clair et d’identifiants d’utilisateur
  • 4 millions + enregistrements PHI (Information sur la santé protégée) (messages de discussion et détails de prescription)
  • 25 millions d’enregistrements de localisation GPS
  • 50 000 dossiers financiers, y compris les opérations bancaires, de paiement et Bitcoin
  • 4,5 millions + jetons d’utilisateurs Facebook, LinkedIn, Firebase et de stockage de données d’entreprise.

Tout cela se produit d’abord parce que le service Google Firebase ne sécurise pas les données utilisateur par défaut, obligeant les développeurs à implémenter explicitement l’authentification des utilisateurs sur toutes les lignes et tables de la base de données pour protéger leurs bases de données contre tout accès non autorisé.

"La seule fonctionnalité de sécurité disponible pour les développeurs est l’authentification et l’autorisation basée sur des règles", expliquent les chercheurs. Ce qui est pire ? Il n’y a pas "d’outils tiers disponibles pour fournir le cryptage pour cela."

Les chercheurs ont affirmé avoir déjà contacté Google et fourni une liste de toutes les bases de données d’applications vulnérables, et ont également contacté quelques développeurs d’applications pour les aider à corriger ce problème.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image