iOS和Android应用泄漏用户数据Firebase数据库不安详
|
网易科技讯6月30日动静,据海外媒体报道,安详研究职员暗示,约莫2200个不安详的Firebase数据库,导致3000多个iOS和Android应用措施泄漏用户数据,泄漏了高出1亿笔记录,包罗文本暗码、康健信息、GPS定位数据等。 据移动应用安详公司Appthority宣布的最新陈诉《2018年第二季度企业移动威胁陈诉》称,该题目由一种被称为“HospitalGown懦弱性”的新变体引起。HospitalGown由Appthority移动安详小组(Appthority Mobile Threat Team)于2017年确定。 Appthority陈诉说,当应用措施开拓职员选择不要求Google Firebase云数据库的身份验证时,题目就呈现了。 Appthority发明,行使Firebase数据库的1275个IOS应用措施中,有600个是易受进攻。总的来说,高出3000个应用措施泄漏了2271个设置错误的数据库中的数据。泄漏的数据中有260万个文本暗码和用户ID,高出400万个被掩护的康健信息记录,5万个财政记录。 “为了适内地掩护数据,开拓职员必要在全部数据库表和行上详细实现用户身份验证,这在实践中很少产生。”Appthority在这份陈诉中写道,“另外,进攻者不必要耗费太多的精神就能找到开放的Firebase数据库,并得到数百万的私家移动数据应用记录。” Firebase是谷歌的一款产物,它包括建设移动应用措施的后端器材。很多Android开拓者都在行使它,一些iOS应用措施也依靠该处事来存储和说明数据。Appthority对270万个iOS和Android应用措施举办了评估,确定2.8502万个移动应用措施——2.7227万个Android移动应用措施和1275个IOS移动应用措施——将数据存储在Firebase后端。 Appthority还发明,跟着Firebase行使量的增进,易受进攻应用的数目也在增进。2017年,在行使Firebase数据库的5.3010个应用措施中,有4578个(约占9%)是易受进攻的。
Appthority提议,开拓职员要更有用地掩护本身的数据。 “对第三方开拓的内部应用措施、内部开拓的应用措施和为员工可得到的民众应用措施,你们必要举办彻底的安详搜查,”Appthority在这份陈诉中写道,“假如没有针对应用措施威胁和后端裂痕的自动化MTD办理方案,如Appthority移动威胁掩护(Appthority Mobile Threat Protection),你们也许很难在EMM宣布的企业和民众应用措施中发明这种威胁存在。” 谷歌已经收到了这个题目的关照,并提供了一个受影响的应用措施和处事器的列表。(天门山)  本文来历:网易科技报道
责任编辑:张洁_NT5630 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
