示意圖,與新聞事件無關。

圖片來源: 

Google Play

行動程式資安業者Appthority上周指出,有3,046款使用Firebase服務的行動程式因不當配置而讓程式的用戶資訊曝光,總計有113GB、超過1億筆資料可供公開存取,包括明文的使用者帳號與密碼及GPS位置資訊等。

Firebase為一網路及行動程式的開發平台,它提供雲端傳訊、通知、資料庫、分析功能,還有許多後端API,在2014年被Google買下,除了受到許多Android開發者的青睞之外,也是最受歡迎的行動程式資料儲存平台之一。

Appthority在清查逾270萬個行動程式之後,發現有2.8萬個行動程式將資料存放在Firebase後端,當中有3,046個程式把資料置放於2,271個不當配置的Firebase資料庫中,而允許第三方公開檢視。它們大多數為Android程式,佔了2,446個,另有600個為iOS程式。

這些程式外洩的資料量高達113GB,包含了260萬筆的明文密碼與使用者帳號、400萬筆的健康紀錄與聊天訊息、2,500萬筆的GPS位置資訊、5萬筆的金融交易資訊,以及450萬筆的臉書/LinkedIn/Firebase用戶憑證等。

Appthority指出,2,446個Android程式在Google Play上的總下載量超過了6.2億次,它們分散在不同的類別,從工具、生產力、健身、通訊、金融到商用程式等,有62%的企業至少使用了其中一款程式。

儘管這主要是因為開發者沒有驗證存取權限,才讓任何人都能存取,屬於Firebase資料庫的配置疏失,然而Appthority卻把矛頭指向Google,指出Firebase在預設上並未善盡保護用戶資料的責任,同時也缺乏可加密用戶資料的第三方工具。


Advertisement

更多 iThome相關內容