根据 移动应用程序安全公司Appthority的一份新报告,即《 2018年第二季度企业移动威胁报告》,该问题是由被称为“ HospitalGown漏洞”的新变体引起的。因其处理“通过后端数据存储泄漏”的数据而得名的HospitalGown,于2017年由Appthority移动威胁团队首次确定。
现在,Appthority报告说,当应用程序开发人员选择不要求对Google Firebase云进行身份验证时,就会出现此问题。数据库,当开发人员使用流行的开发工具时,默认情况下不会执行某些操作。
Appthority发现使用Firebase数据库的1,275个iOS应用程序中有600个易受攻击。总体而言,超过3,000个应用程序正在泄漏2,271个配置错误的数据库中的数据。在泄漏的数据中,有260万个纯文本密码和用户ID,超过400万个受保护的健康信息记录以及50,000个财务记录。
Appthority在报告中写道:“为了正确保护数据,开发人员需要在所有数据库表和行上专门实施用户身份验证,这在实践中很少发生。” “此外,攻击者无需费劲就能找到打开的Firebase应用程序数据库并获得数百万个私有移动数据应用程序记录的访问权限。
正如Bleeping Computer上周报道发现的那样 ,Firebase是Google产品,其中包含用于创建移动应用的后端工具。许多Android开发人员在使用中,某些iOS应用程序也依靠该服务来存储和分析数据。Appthority对270万个iOS和Android应用程序进行了评估,以确定28,502个移动应用程序(其中27,227个Android和1,275个iOS)将数据存储在Firebase后端中。
Appthority还发现,随着Firebase使用量的增加,易受攻击的应用程序的数量也随之增加。2017年,在使用Firebase DB的53,010个应用程序中,有4,578个(9%)易受攻击。
