6月30日消息，據(jù)國(guó)外媒體報(bào)道，安全研究人員表示，大約2200個(gè)不安全的Firebase數(shù)據(jù)庫(kù)，導(dǎo)致3000多個(gè)iOS和Android應(yīng)用程序泄露用戶數(shù)據(jù)，泄露了超過1億條記錄，包括文本密碼、健康信息、GPS定位數(shù)據(jù)等。

　　據(jù)移動(dòng)應(yīng)用安全公司Appthority發(fā)布的最新報(bào)告《2018年第二季度企業(yè)移動(dòng)威脅報(bào)告》稱，該問題由一種被稱為“HospitalGown脆弱性”的新變體引起。HospitalGown由Appthority移動(dòng)安全小組(Appthority Mobile Threat Team)于2017年確定。

　　Appthority報(bào)告說，當(dāng)應(yīng)用程序開發(fā)人員選擇不要求Google Firebase云數(shù)據(jù)庫(kù)的身份驗(yàn)證時(shí)，問題就出現(xiàn)了。

　　Appthority發(fā)現(xiàn)，使用Firebase數(shù)據(jù)庫(kù)的1275個(gè)IOS應(yīng)用程序中，有600個(gè)是易受攻擊�？偟膩碚f，超過3000個(gè)應(yīng)用程序泄露了2271個(gè)配置錯(cuò)誤的數(shù)據(jù)庫(kù)中的數(shù)據(jù)。泄露的數(shù)據(jù)中有260萬個(gè)文本密碼和用戶ID，超過400萬個(gè)被保護(hù)的健康信息記錄，5萬個(gè)財(cái)務(wù)記錄。

　　“為了適當(dāng)?shù)乇Ｗo(hù)數(shù)據(jù)，開發(fā)人員需要在所有數(shù)據(jù)庫(kù)表和行上具體實(shí)現(xiàn)用戶身份驗(yàn)證，這在實(shí)踐中很少發(fā)生。”Appthority在這份報(bào)告中寫道，“此外，攻擊者不需要花費(fèi)太多的精力就能找到開放的Firebase數(shù)據(jù)庫(kù)，并獲得數(shù)百萬的私人移動(dòng)數(shù)據(jù)應(yīng)用記錄。”

　　Firebase是谷歌的一款產(chǎn)品，它包含創(chuàng)建移動(dòng)應(yīng)用程序的后端工具。許多Android開發(fā)者都在使用它，一些iOS應(yīng)用程序也依賴該服務(wù)來存儲(chǔ)和分析數(shù)據(jù)。Appthority對(duì)270萬個(gè)iOS和Android應(yīng)用程序進(jìn)行了評(píng)估，確定2.8502萬個(gè)移動(dòng)應(yīng)用程序——2.7227萬個(gè)Android移動(dòng)應(yīng)用程序和1275個(gè)IOS移動(dòng)應(yīng)用程序——將數(shù)據(jù)存儲(chǔ)在Firebase后端。

　　Appthority還發(fā)現(xiàn)，隨著Firebase使用量的增加，易受攻擊應(yīng)用的數(shù)量也在增加。2017年，在使用Firebase數(shù)據(jù)庫(kù)的5.3010個(gè)應(yīng)用程序中，有4578個(gè)(約占9%)是易受攻擊的。

　　Appthority建議，開發(fā)人員要更有效地保護(hù)自己的數(shù)據(jù)。

　　“對(duì)第三方開發(fā)的內(nèi)部應(yīng)用程序、內(nèi)部開發(fā)的應(yīng)用程序和為員工可獲得的公共應(yīng)用程序，你們需要進(jìn)行徹底的安全檢查，”Appthority在這份報(bào)告中寫道，“如果沒有針對(duì)應(yīng)用程序威脅和后端漏洞的自動(dòng)化MTD解決方案，如Appthority移動(dòng)威脅保護(hù)(Appthority Mobile Threat Protection)，你們可能很難在EMM發(fā)布的企業(yè)和公共應(yīng)用程序中發(fā)現(xiàn)這種威脅存在。”

　　谷歌已經(jīng)收到了這個(gè)問題的通知，并提供了一個(gè)受影響的應(yīng)用程序和服務(wù)器的列表。