Globální lídr v oblasti digitálního zabezpečení a ochrany soukromí, společnost Avast, zjistila, že více než 19 300 aplikací pro Android má volně přístupná data uživatelů.
Chybou vývojářů a špatně nakonfigurované databáze Firebase je v ohrožení velké procento uživatelů
Na vině je chyba v konfiguraci databáze Firebase, která je vývojáři používaná pro ukládání uživatelských dat. V ohrožení je tak velké množství aplikací napříč celým spektrem kategorií. Patří sem aplikace od lifestyle, fitness a herních až po aplikace jako jsou poštovní klienti, nebo aplikace pro doručování jídla.
Databáze Firebase je používána na operačním systému Android a vývojáři ji využívají pro vývoj mobilních a webových aplikací. Implementace Firebase je však přístupná dalších vývojářům, což znamená, že je v podstatě dostupná pro veřejnost. Výzkumníci z laboratoří Avast Threat Labs prozkoumali 180 300 veřejně dostupných instancí Firebase a zjistili, že více než 10 % (19 300) z nich je otevřených a zpřístupňují data neautorizovaným vývojářům. Chyba je tedy na straně vývojářů díky které jsou osobní data uživatelů vystavena možnosti krádeže.
Zdroj: Google
Mezi údaji, které mohou být zneužity jsou například jména, data narození, adresy, telefonní čísla, údaje o poloze, tokeny a klíče, které používají různé služby. V případě, že vývojáři nevěnuji dostatečnou pozornost zabezpečení dat, tyto data mohou obsahovat i přihlašovací údaje v prostém textu. Z toho vyplývá, že pakliže tato data uniknou na internet, může se jednat o veliký problém a to především z pohledu obchodního, právního a regulatorního rizika. Potenciálně mohou být ohrožena data více než 10 % uživatelů aplikací, které Firebase využívají.
„U takto otevřených dat hrozí, že uniknou na internet, což může představovat velké obchodní, právní a regulatorní riziko. Potenciálně mohou být ohroženy osobní údaje více než 10 % uživatelů aplikací založených na Firebase,“ vysvětluje výzkumník malwaru v Avastu Vladimir Martyanov. „Svou aplikaci má v dnešní době téměř každá firma, od obchodů přes posilovny, poštovní služby, až po různé dárcovské platformy. Tyto společnosti by měly trvat na odpovědném vývoji svých aplikací, aby se bezpečnost a ochrana soukromí staly klíčovou součástí celého procesu, nikoliv jen poslední položkou na seznamu.“
Společnost Avast již o těchto zjištěních informovala Google. Je nyní důležité tuto zprávu doručit přímo vývojářům, kteří musí přijmout takové kroky, které povedou k urychlené nápravě. Avast také doporučuje, aby se sami vývojáři dostatečně informovali o potenciálních rizicích nesprávně nakonfigurované databáze Firebase a dodržovali osvědčené postupy, které doporučuje přímo Google. „Vyzýváme všechny vývojáře, aby si zkontrolovali, že jejich databáze a další úložiště jsou správně nakonfigurovaná, ochránili tak data uživatelů a učinili náš digitální svět bezpečnějším,“ dodává Vladimir Martyanov.
Zdroj: Tisková zpráva