Firebase: 4000 applications Android exposées

Plus de 4000 applications Android qui utilisent les bases de données Firebase hébergées dans le cloud de Google divulguent “sans le savoir” des informations sensibles sur leurs utilisateurs, y compris leurs adresses e-mail, noms d’utilisateur, mots de passe, numéros de téléphone, noms complets, messages de chat et données de localisation.

L’enquête, dirigée par Bob Diachenko de Security Discovery en partenariat avec Comparitech, est le résultat d’une analyse de 15 735 applications Android, qui représentent environ 18% de toutes les applications sur le Play Store de Google.

“4,8% des applications mobiles utilisant Google Firebase pour stocker les données des utilisateurs ne sont pas correctement sécurisées, permettant à quiconque d’accéder aux bases de données contenant les informations personnelles des utilisateurs, les jetons d’accès et d’autres données sans mot de passe ou toute autre authentification”, a déclaré Comparitech.

firebase

Rachetée par Google en 2014, Firebase est une plate-forme de développement d’applications mobiles populaire qui offre une variété d’outils pour aider les développeurs d’applications tiers à créer des applications, à stocker en toute sécurité les données et les fichiers des applications, à résoudre les problèmes et même à interagir avec les utilisateurs via la messagerie intégrée à l’application.

Les applications vulnérables en question touchent principalement aux jeux, à l’éducation, au divertissement et aux entreprises. Ces applications ont été installées 4,22 milliards de fois par les utilisateurs d’Android. Comparitech a déclaré: “les chances sont élevées que la confidentialité d’un utilisateur Android ait été compromise par au moins une application.”

Étant donné que Firebase est un outil multi-plateforme, les chercheurs ont également averti que les erreurs de configuration sont également susceptibles d’avoir un impact sur le système d’exploitation iOS et les applications Web.

Les bases de données Firebase ont été exposées

Le contenu complet des bases de données Firebase, couvrant 4 282 applications, comprenait des:

  • Adresses e-mail: 7 000 000+
  • Noms d’utilisateur: 4 400 000+
  • Mots de passe: 1 000 000+
  • Numéros de téléphone: 5 300 000+
  • Noms complets: 18 300 000+
  • Messages de chat: 6 800 000+
  • Données GPS: 6 200 000+
  • Adresses IP: 156 000+
  • Adresses: 560 000+

Diachenko a trouvé les bases de données exposées en utilisant l’API REST de Firebase qui est utilisée pour accéder aux données stockées sur des instances non protégées, récupérées au format JSON. Il a tout simplement ajouté le suffixe “/.json” à une URL de base de données (par exemple “https: //~project_id~.firebaseio. com /.json “).

firebase

En plus des 155 066 applications ayant des bases de données exposées publiquement, les chercheurs ont trouvé 9 014 applications avec des autorisations d’écriture, permettant ainsi potentiellement à un attaquant d’injecter des données malveillantes et de corrompre la base de données, voire de propager des logiciels malveillants.

Pour compliquer davantage les choses, l’indexation des URL de base de données Firebase par des moteurs de recherche tels que Bing, expose les points de terminaison vulnérables à quiconque sur Internet. Une recherche Google, cependant, ne renvoie aucun résultat.

Après que Google ait été informé le 22 avril 2020, le géant de la recherche a déclaré qu’il contacterait les développeurs concernés pour corriger les problèmes de sécurité.

Ce n’est pas la première fois que des bases de données Firebase exposées divulguent des informations personnelles. Des chercheurs de la firme de sécurité mobile Appthority ont découvert un cas similaire il y a deux ans, entraînant l’exposition de 100 millions blocs de données.

Laisser une base de données exposée sans aucune authentification est une invitation ouverte aux individus malveillant. Il est donc recommandé aux développeurs d’applications de respecter les règles de base de données Firebase pour sécuriser les données et empêcher tout accès non autorisé.

Les utilisateurs, pour leur part, sont invités à ne s’en tenir qu’aux applications de confiance et à se méfier des informations partagées avec une application.

Si cet article concernant la fuite des bases de données Firebase vous a plu, jetez un œil à notre article précédent.