超過4,000個Android應用程序在不知不覺中洩漏了用戶密碼和其他敏感數據

有些人可能會提出反對使用Android的一長串論據，而且您可以打賭，安全性將排在首位。與Apple的App Store相比，在Google Play上發布應用程序要容易得多，惡意軟件運營商正在充分利用這一優勢。儘管採取了許多行動，並採取了安全預防措施，但惡意應用仍然時不時地躲過漏洞，並且不斷提醒Android用戶在安裝和使用軟件時要格外小心。

但是，由Comparitech的一組研究人員進行的一項最新研究表明，無論您多麼警惕，您仍然可以暴露自己的數據。據它說，由於一些配置錯誤，可以通過一個搜索查詢訪問成千上萬個應用保存的數百萬條記錄，這一次，該問題不僅限於Android。

由Firebase驅動的數千個應用程序將用戶數據存儲在不受保護的數據庫中

專家團隊由Bob Diachenko領導，他想進一步了解開發人員如何使用Firebase。 Firebase是一個應用程序開發平台，為程序員提供了許多用於管理移動和Web應用程序的工具，包括身份驗證機制和雲消息傳遞功能。 Diachenko對Firebase的數據存儲機制感興趣。

該研究始於略微超過一百萬的Android應用程序。其中有15.5萬個基於Firebase，他使用平台的REST API訪問應用程序存儲的數據。其中11,730個應用程序的數據庫可公開訪問，並且不受密碼保護，其中4,282個包含敏感信息。洩漏的數據包括：

• 156,000個IP地址
• 56萬個物理地址
• 一百萬個密碼
• 440萬用戶名
• 530萬個電話號碼
• 620萬條包含GPS數據的記錄
• 680萬條聊天消息
• 700萬個電子郵件地址
• 1830萬個名字

除了所有這些之外，一些暴露的記錄還包含信用卡數據，甚至包括身份證件的照片。

更令人擔憂的是，數據以JSON格式存儲，並且由Bing索引。換句話說，下載包含敏感信息的整個數據庫就像在Microsoft的搜索引擎中輸入查詢一樣容易。

問題到底有多大？

為了強調這種情況的嚴重性，迪亞琴科（Diachenko）的團隊試圖將這些數字視為現實。易受攻擊的應用僅佔專家分析的所有應用的不到1％，聽起來可能並不多，但是如果我們假設整個Play商店的使用率相同，則得出的結論是，大約有24個Google Play提供的數千種應用程序正在洩漏敏感數據。如果您認為還不錯，那麼您可能應該考慮Diachenko和他的團隊研究的4,282個應用程序的總下載量為42.2億。

問題不僅限於Google Play和Android。基於Web的應用程序和iOS應用程序的開發人員也使用Firebase，我們只能猜測其中有多少人犯了相同的配置錯誤。

Diachenko向Google披露了此問題後，敦促4,282個易受攻擊的應用程序的創建者保護其數據庫的安全，並且建議移動應用程序開發人員在安裝基於Firebase的應用程序時要格外小心。同時，用戶被告知他們應該為所有帳戶使用唯一的密碼，並且不應與智能手機上的應用程序共享太多信息。不幸的是，在這種情況下，這就是他們所能做的。