Trang tin Security Discovery và công ty Comparitech (Anh) đã hợp tác mở cuộc điều tra về 15.735 ứng dụng Android (chiếm khoảng 18% trong tổng số ứng dụng trên cửa hàng Google Play). Công ty Comparitech cho biết, 4,8% ứng dụng di động sử dụng Google Firebase để lưu trữ dữ liệu người dùng không được bảo mật đúng cách, cho phép truy cập cơ sở dữ liệu chứa thông tin cá nhân của người dùng, mã truy cập (token) và các dữ liệu khác mà không cần mật khẩu hoặc bất kỳ yêu cầu xác thực nào".
Được Google mua lại vào năm 2014, Firebase là một nền tảng phát triển ứng dụng di động phổ biến, cung cấp nhiều công cụ để giúp các nhà phát triển ứng dụng bên thứ ba xây dựng ứng dụng, lưu trữ dữ liệu và tệp ứng dụng một cách an toàn, khắc phục sự cố và thậm chí trao đổi với người dùng qua tin nhắn trong ứng dụng.
Với các ứng dụng dễ bị tấn công, chủ yếu thuộc các nhóm trò chơi, giáo dục, giải trí và kinh doanh, Comparitech cho rằng, rất có thể quyền riêng tư của người dùng Android đã bị xâm phạm bởi ít nhất một ứng dụng. Vì Firebase là một công cụ đa nền tảng, các nhà nghiên cứu cũng cảnh báo rằng các cấu hình sai cũng có khả năng ảnh hưởng đến hệ điều hành iOS và các ứng dụng web.
Nội dung đầy đủ của cơ sở dữ liệu trải rộng trên 4.282 ứng dụng, bao gồm: hơn 7 triệu địa chỉ email, hơn 4,4 triệu tên người dùng, hơn 1 triệu mật khẩu, hơn 5,3 triệu số điện thoại, hơn 18,3 triệu tên đầy đủ, hơn 6,8 triệu tin nhắn trò chuyện, hơn 6,2 triệu dữ liệu GPS, hơn 156.000 địa chỉ IP và hơn 560.000 địa chỉ đường phố.
Điều tra viên đã sử dụng API REST của Firebase để truy cập dữ liệu được lưu trữ trên các cơ sở dữ liệu không được bảo vệ, được truy xuất ở định dạng JSON, bằng cách thêm "/.json" vào URL cơ sở dữ liệu (ví dụ: https://~project_id~.firebaseio.com /.json).
Ngoài 155.066 ứng dụng có cơ sở dữ liệu được công khai, các nhà nghiên cứu đã tìm thấy 9.014 ứng dụng có quyền ghi, do đó có khả năng cho phép kẻ tấn công truyền dữ liệu độc hại và làm hỏng cơ sở dữ liệu, thậm chí phát tán phần mềm độc hại.
Vấn đề phức tạp hơn nữa là việc lập chỉ mục các URL cơ sở dữ liệu Firebase của các công cụ tìm kiếm như Bing, để lộ các điểm cuối dễ bị tổn thương cho bất kỳ người dùng Internet. Tuy nhiên, khi tìm kiếm bằng Google thì không trả lại kết quả.
Sau khi Google được thông báo về những phát hiện vào ngày 22/4/2020, gã khổng lồ tìm kiếm cho biết họ sẽ liên hệ với các nhà phát triển bị ảnh hưởng để khắc phục các vấn đề.
Đây không phải là lần đầu tiên cơ sở dữ liệu Firebase bị rò rỉ thông tin cá nhân. Các nhà nghiên cứu từ công ty bảo mật di động Appthority (Mỹ) đã tìm thấy trường hợp tương tự hai năm trước, làm lộ 100 triệu bản ghi.
Việc một cơ sở dữ liệu có thể truy cập mà không yêu cầu bất kỳ xác thực nào như một lời mời mở cho những kẻ tấn công. Do đó, các nhà phát triển ứng dụng nên tuân thủ các quy tắc cơ sở dữ liệu của Firebase để bảo mật dữ liệu và ngăn chặn truy cập trái phép.
Người dùng chỉ nên sử dụng các ứng dụng đáng tin cậy và thận trọng với thông tin được chia sẻ với một ứng dụng.
Nguyễn Anh Tuấn
(Theo The Hacker News)
14:00 | 03/07/2020
10:00 | 16/01/2020
08:00 | 26/08/2021
08:34 | 13/06/2017
08:00 | 25/09/2020
16:00 | 17/12/2020
08:00 | 12/04/2021
13:00 | 03/02/2021
10:00 | 09/04/2020
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024