Hàng nghìn ứng dụng di động “trưng bày” nhiều dữ liệu “bí mật”
Phơi bày dữ liệu “nóng” của hàng nghìn ứng dụng di động
Các nhà nghiên cứu bảo mật di động đã phát hiện cơ sở dữ liệu Firebase của hàng nghìn ứng dụng di động iOS và Android đang “trưng bày” ra hơn 100 triệu bản ghi dữ liệu, bao gồm mật khẩu văn bản thuần túy, ID người dùng, hồ sơ tài chính,…
Cơ sở dữ liệu Firebase của hàng nghìn ứng dụng di động iOS và Android đang bị “phơi bày” 100 triệu bản ghi dữ liệu, bao gồm mật khẩu văn bản thuần túy, ID người dùng, vị trí và trong một số trường hợp, hồ sơ tài chính như giao dịch ngân hàng và tiền điện tử.
Dịch vụ Firebase của Google là một trong những nền tảng phổ biến nhất dành cho các ứng dụng di động và web. Nó cung cấp cho nhà phát triển cơ sở dữ liệu dựa trên nền tảng Cloud và lưu trữ dữ liệu ở định dạng JSON, đồng thời đồng bộ hóa dữ liệu đó trong thời gian nhanh nhất với tất cả khách hàng.
Các nhà nghiên cứu từ hãng bảo mật di động Appthority đã phát hiện ra rằng nhiều nhà phát triển ứng dụng không bảo mật đúng đúng điểm cuối back-end của Firebase bằng Firewalls, để lại hàng trăm gigabyte dữ liệu nhạy cảm của khách hàng có nguy cơ bị truy cập và đánh cắp bởi bất kỳ ai.
Vì Firebase cung cấp cho nhà phát triển ứng dụng máy chủ API (ví dụ ở bên dưới) để truy cập cơ sở dữ liệu với những dịch vụ liên quan, kẻ tấn công có thể truy cập vào dữ liệu không được bảo mật bằng cách thêm cụm “/.json”, mà không phải để lại tên ở cuối tên máy chủ.
Ví dụ:
Sample API URL: https://<Firebase project name>.firebaseio.com/<database.json>
Payload to Access: Data https://<Firebase project name>.firebaseio.com/.json
Để tìm ra mức độ nghiêm trọng của vấn đề này, các nhà nghiên cứu đã quét hơn 2,7 triệu ứng dụng và thấy rằng hơn 3.000 ứng dụng, trong đó có 2,446 ứng dụng Android và 600 ứng dụng iOS đã bị rò rỉ toàn bộ 2.300 cơ sở dữ liệu với hơn 100 triệu bản ghi.
Ứng dụng bị ảnh hưởng thuộc nhiều danh mục như viễn thông, tiền điện tử, tài chính, dịch vụ bưu chính, tổ chức giáo dục, khách sạn, sức khỏe, thể dục, công cụ và hơn thế nữa. Các nhà nghiên cứu cũng đã cung cấp một phân tích ngắn gọn về dữ liệu mà họ đã thử tải xuống từ các ứng dụng không có tính bảo mật cao. Kết quả thống kê cho thấy bộ dữ liệu bị “phơi bày” bao gồm:
- 2,6 triệu mật khẩu văn bản và ID người dùng
- Hơn 4 triệu hồ sơ PHI (Protected Health Information) cùng với nhiều tin nhắn trò chuyện khác.
- 25 triệu bản ghi định vị GPS
- 50.000 hồ sơ tài chính bao gồm giao dịch ngân hàng, thanh toán và giao dịch Bitcoin
- Hơn 4,5 triệu dữ liệu người dùng từ Facebook, LinkedIn, Firebase
Ngay từ đầu, tất cả điều này xảy ra vì dịch vụ Google Firebase không bảo mật dữ liệu người dùng theo mặc định, yêu cầu nhà phát triển triển phải khai báo người dùng thật một cách rõ ràng trên tất cả cơ sở dữ liệu để bảo vệ dữ liệu của họ khỏi bị truy cập trái phép.
Các nhà nghiên cứu cho biết họ đã liên lạc với Google và cung cấp danh sách tất cả các cơ sở dữ liệu ứng dụng có bảo mật yếu kém, đồng thời cũng liên hệ với một số nhà phát triển ứng dụng giúp họ khắc phục sự cố này.
THN
Hậu Đàm