2,200のFirebaseデータベースをもとに動作する、3,000以上のiOS、Androidアプリでユーザー情報が漏れていたことが明らかになりました。1億件にものぼる、パスワード、ヘルス関連情報、位置情報、などが脅威に晒されたと、セキュリティ研究者は述べています。
正しい方法で構築されなかったデータベースが原因
セキュリティ企業Appthorityによれば、多くのアプリのバックエンドのデータ管理に問題があったとのことです。Googleが提供するFirebaseクラウドデータベースを使用する際に、開発者が認証過程を必要としない設定に変更することにより、セキュリティ欠陥が生じるとされています。なお、デフォルトでは認証が必要とされる設定となっています。
Appthorityは1,275のFirebaseデータベースが使用されたiOSアプリを発見しましたが、そのうち600のアプリにセキュリティ上の弱点が認められました。Androidアプリも合わせると、2,271のFirebaseデータベースをもとに動作する3,000以上のアプリにセキュリティ欠陥がみられました。260万件のパスワードやユーザーID、400万件以上のヘルス関連情報、5万件の財務記録が漏えいしたといわれています。
「データを確実に保護するためには、ユーザー認証がすべてのデータベースのテーブルと列に適用されなければならない。これが怠られることが非常に多い」と、Appthorityの報告書の中で述べられています。「攻撃者がずさんなFirebaseアプリのデータベースを探して、プライベートなアプリ情報を得るのはたやすい」とも記載されています。
Firebaseは、2014年にGoogleにより買収されたアプリ開発プラットフォームで、多くのiOS、Android開発者がデータの管理、分析のために利用しています。Appthorityが270万のiOS、Androidアプリを調べたところ、28,502のアプリ(27,227のAndroidアプリと1,275のiOSアプリ)のデータ管理にFirebaseが使用されていたことがわかりました。
Source:AppleInsider
Photo:Firebase/YouTube
(lexi)