Využívanie internetu sa prirodzene spája s bezpečnostným rizikom, no práve úroveň bezpečnosti sa odvíja aj od aktivity a opatrnosti konkrétneho používateľa. Aj Google sa so svojim Android systémom neustále snaží dodržiavať maximálne bezpečnostné štandardy a chrániť vaše dáta, aktivitu tretích strán už ale ovplyvniť nevie.
Aj s tým súvisí aktuálny problém, ktorý odhalila firma Security Discovery. To, ako budú tretie strany využívať služby Google si vie firma kontrolovať len do istej miery, no ak niekto niekde nedodržiava pravidlá, chybám sa vyhnúť nedá. Firma dlhodobo poskytuje developerom nástroj pre vývoj aplikácií, ktorý zároveň obsahuje priestor pre ukladanie dát. Volá sa Firebase, a okrem iného má uchovávať rôzne, aj citlivé údaje, v bezpečí.
Nevedomé riziko, aj pre iOS
Ako však zistila firma Security Discovery v spolupráci s Comparitech, nie vždy to tak musí byť. Tím na čele s Bobom Diachenkom sa rozhodol analyzovať 515 735 Android aplikácií, čo je približne 18 % všetkých dostupných aplikácií na Google Play.
A výsledok vôbec nie je priaznivý, nakoľko takmer 5 % z tých, ktoré Firebase používajú, nevedome sprístupňujú citlivé dáta komukoľvek: “4,8 percent mobilných aplikácií, ktoré používajú Google Firebase pre ukladanie dát používateľov, nie sú dostatočne zabezpečené. Komukoľvek umožňujú prístup do databázy, ktorá obsahuje dáta používateľov, a to súkromné informácie, prístupové tokeny či iné dáta bez potreby hesla alebo inej autentifikácie,” píše v oficiálnej správe firma Comparitech.
Aplikácie obsahujúce chybu boli nainštalované viac ako 4 miliardykrát. Väčšinou ide o vzdelávacie, zábavné, firemné alebo herné aplikácie. Šanca, že táto zraniteľnosť bola zneužitá aspoň cez jednu aplikáciu je preto vysoká. Takáto zásadná chyba je pritom iba otázka správnej konfigurácie databázy.
Taktiež je veľmi dôležité dodať, že Firebase je služba, ktorú je možné využiť aj na iných platformách – preto k takejto závažnej chybe mohlo prísť aj v súvislosti s aplikáciami pre iOS.
Google bolo o chybe informované už 22. apríla, na základe čoho kontaktujú vývojárov aplikácií s nedostatočným zabezpečením s výzvou o nápravu.
Toto všetko skrýva databáza 4 282 aplikácií, ktoré danú chybu obsahujú:
- 7,000,000+ e-mailových adries
- 4,400,000+ používateľských mien
- 1,000,000+ hesiel
- 5,300,000+ telefónnych čísiel
- 18,300,000+ celých mien
- 6,800,000+ správ z chatu
- 6,200,000+ GPS údajov
- 156,000+ IP adries
- 560,000+ adries
