More Than 4,000 Android Apps are Reportedly Leaking User Passwords

有些人可能会提出反对使用Android的一长串论据，而且您可以打赌，安全性将排在首位。与Apple的App Store相比，在Google Play上发布应用程序要容易得多，恶意软件运营商正在充分利用这一优势。尽管采取了许多行动，并采取了安全预防措施，但恶意应用仍然时不时地躲过漏洞，并且不断提醒Android用户在安装和使用软件时要格外小心。

但是，由Comparitech的一组研究人员进行的一项最新研究表明，无论您多么警惕，您仍然可以暴露自己的数据。据它说，由于一些配置错误，可以通过一个搜索查询访问成千上万个应用保存的数百万条记录，这一次，该问题不仅限于Android。

由Firebase驱动的数千个应用程序将用户数据存储在不受保护的数据库中

专家团队由Bob Diachenko领导，他想进一步了解开发人员如何使用Firebase。 Firebase是一个应用程序开发平台，为程序员提供了许多用于管理移动和Web应用程序的工具，包括身份验证机制和云消息传递功能。 Diachenko对Firebase的数据存储机制感兴趣。

该研究始于略微超过一百万的Android应用程序。其中有15.5万个基于Firebase，他使用平台的REST API访问应用程序存储的数据。其中11,730个应用程序的数据库可公开访问，并且不受密码保护，其中4,282个包含敏感信息。泄漏的数据包括：

• 156,000个IP地址
• 56万个物理地址
• 一百万个密码
• 440万用户名
• 530万个电话号码
• 620万条包含GPS数据的记录
• 680万条聊天消息
• 700万个电子邮件地址
• 1830万个名字

除了所有这些之外，一些暴露的记录还包含信用卡数据，甚至包括身份证件的照片。

更令人担忧的是，数据以JSON格式存储，并且由Bing索引。换句话说，下载包含敏感信息的整个数据库就像在Microsoft的搜索引擎中输入查询一样容易。

问题到底有多大？

为了强调这种情况的严重性，迪亚琴科（Diachenko）的团队试图将这些数字视为现实。易受攻击的应用仅占专家分析的所有应用的不到1％，听起来可能并不多，但是如果我们假设整个Play商店的价格相同，我们得出的结论是大约有24个Google Play提供的数千种应用程序正在泄漏敏感数据。如果您认为还不错，那么您可能应该考虑Diachenko和他的团队研究的4,282个应用的总下载量为42.2亿。

问题不仅限于Google Play和Android。基于Web和iOS应用程序的开发人员也使用Firebase，我们只能猜测其中有多少人犯了相同的配置错误。

Diachenko向Google披露了此问题后，敦促4,282个易受攻击的应用程序的创建者保护其数据库的安全，并且建议移动应用程序开发人员在安装基于Firebase的应用程序时要格外小心。同时，用户被告知他们应该为所有帐户使用唯一的密码，并且不应与智能手机上的应用程序共享太多信息。不幸的是，在这种情况下，这就是他们所能做的。