重要なデータベースを認証なしにオンラインで公開しないようにと何年も前から警告されているにもかかわらず、Firebase上の機密性の高いユーザーデータがいくつかの基本的なスクリプトや検索クエリを使ってオンラインで簡単に見つけられる状態になっていることがわかりました。
サイバーセキュリティ企業のAvastは、2021年7月に実施した調査プロジェクトで合計180,300件のFirebaseデータベースのうち、約19,300件が認証なしでオンラインに放置されていることを発見したと発表しました。
Avastのセキュリティ研究者であるVladimir Martyanov氏は、
テストしたDBの10.7%が、アプリ開発者の誤った設定により、認証されていないユーザーにデータを公開していました。これはかなり大きな割合です。
これらのオープンなFirebaseインスタンスは、開発されたアプリが保存・使用するデータを盗難の危険にさらすことになります。
アプリは様々な情報を保存・使用することができ、その中には名前、生年月日、住所、電話番号、位置情報、サービストークン、鍵などの個人を特定できる情報(PII)が含まれているからです。
開発者が悪質な行為を行うと、DBに平文のパスワードが含まれることもあります。
つまり、Firebaseを使ったアプリのユーザーの10%以上の個人情報が危険にさらされる可能性があるということです。
最新のWebサイトやモバイルアプリのバックエンドとして使用するために特別に構築されたリアルタイムデータベースとして2012年に開発されたFirebaseは、現在最も人気のあるデータベースエンジンの1つです。
2014年にGoogleに買収されたFirebaseは、クラウドホスト型のデータストレージシステムとして提供されており、ほとんどのデータベースはfirebaseio.comのサブドメインでホストされています。
長年にわたり、FirebaseはほとんどのAndroidおよびiOSアプリケーションで使用されるデータベースとなっていますが、その主な理由は膨大なデータロードをほぼリアルタイムで処理できることにあります。
しかし、その初期の頃から多くのアプリ開発者がシステムの設定に苦労しており、ユーザーデータがオンライン上にさらされ、誰でもアクセスできる状態になってしまうことが多いことをセキュリティ研究者が発見していました。
2018年の調査では、3,046個のアプリ(Androidが2,446個、iOSが600個)のモバイルアプリケーションが、2,271個以上の誤った設定のFirebaseデータベースを経由して、113GB以上のデータを公開していることが判明しました。
その2年後の調査では、24,000以上のAndroidアプリケーションがFirebaseのバックエンドを通じてユーザーデータを公開していたことが判明しました。
さらに、ほとんどのデータベースはfirebaseio.comドメインでホストされているため、パスワードを必要としないデータベースも検索エンジンによくインデックスされており、誰でも簡単なクエリでこれらのシステムを見つけることができる状態でした。
Googleは、検索結果をフィルタリングするために腐心しましたが、他の検索エンジンは現在でもFirebaseのバックエンドをインデックスさせており、地下のデータブローカーによって定期的に検索されているデータがあります。
Googleは2016年に高度な認証機能を導入しましたが、Martyanov氏の調査によると、いまだに19,300のFirebaseバックエンドがネット上に露出しているとのことです。
Comments