كشف تحقيق أمني عن وجود آلاف تطبيقات أندرويد التي تستخدم خدمة Firebase من جوجل كانت تسرب بيانات شخصية حساسة عن المستخدمين دون علمها.
وتتضمن تلك البيانات عناوين البريد الالكتروني وبيانات الدخول مع كلمة المرور ورقم الهاتف والأسم الكامل وحتى رسائل الدردشة والموقع الجغرافي.
وأجرى فريق بحثي بقيادة Bob Diachenko دراسة على 15,735 تطبيق أندرويد تشكّل 18% من كافة التطبيقات الموجودة على متجر جوجل بلاي. وتوصلت الدراسة إلى أن أكثر من 4000 تطبيق يسرّب بيانات مستخدميه.
وأظهرت الدراسة إلى أن التطبيقات التي تخزن بيانات المستخدمين لدى Firebase لم تقم بحمايتها جيداً ما يسمح لأي شخص بالاطلاع على البيانات المخزنة بدون الحاجة لإدخال كلمة مرور.
وبعض التطبيقات التي تسرب البيانات شائعة للغاية ولديها أكثر من 4 مليار عملية تنزيل ما يضع مئات ملايين مستخدمي أندرويد في دائرة الخطر.
وبالنظر بدقة أكبر إلى 4,282 تطبيق يسرّب البيانات تم العثور على أكثر من 7 مليون عنوان بريد الكتروني و 4 مليون اسم مستخدم ومليون كلمة مرور وأكثر من 5 مليون رقم هاتف وأكثر من 18 مليون اسم كامل وأكثر من 6 مليون رسالة دردشة و 6 مليون بيانات موقع جغرافي وعناوين ip و عناوين السكن.
وتم تسريب البيانات عبر الواجهة البرمجية الشهيرة REST API التي تستخدم للوصول للبيانات واسترجاعها بشكل JSON غير محمي كفاية.
وترتفع خطورة نتائج البحث الأمني أكثر عندما نعرف أن هناك أكثر من 9 آلاف تطبيق لديه صلاحيات كتابة بيانات جديدة، ما يتيح للقراصنة بحقن بيانات خبيثة وإفساد قاعدة البيانات وحتى نشر تطبيقات وبرمجيات خبيثة أخرى.
وتم إبلاغ جوجل بالخلل الأمني وقالت الشركة أنها ستعلم مطوري التطبيقات المتضررة منها لإصلاح الخلل.
يذكر أن هذه ليست المرة الأولى التي تتعرض فيها قواعد بيانات Firebase لتسريب بيانات شخصية، حيث سبق لها تسريب 100 مليون سجل يحوي بيانات شخصين قبل عامين
وتتضمن تلك البيانات عناوين البريد الالكتروني وبيانات الدخول مع كلمة المرور ورقم الهاتف والأسم الكامل وحتى رسائل الدردشة والموقع الجغرافي.
وأجرى فريق بحثي بقيادة Bob Diachenko دراسة على 15,735 تطبيق أندرويد تشكّل 18% من كافة التطبيقات الموجودة على متجر جوجل بلاي. وتوصلت الدراسة إلى أن أكثر من 4000 تطبيق يسرّب بيانات مستخدميه.
وأظهرت الدراسة إلى أن التطبيقات التي تخزن بيانات المستخدمين لدى Firebase لم تقم بحمايتها جيداً ما يسمح لأي شخص بالاطلاع على البيانات المخزنة بدون الحاجة لإدخال كلمة مرور.
وبعض التطبيقات التي تسرب البيانات شائعة للغاية ولديها أكثر من 4 مليار عملية تنزيل ما يضع مئات ملايين مستخدمي أندرويد في دائرة الخطر.
وبالنظر بدقة أكبر إلى 4,282 تطبيق يسرّب البيانات تم العثور على أكثر من 7 مليون عنوان بريد الكتروني و 4 مليون اسم مستخدم ومليون كلمة مرور وأكثر من 5 مليون رقم هاتف وأكثر من 18 مليون اسم كامل وأكثر من 6 مليون رسالة دردشة و 6 مليون بيانات موقع جغرافي وعناوين ip و عناوين السكن.
وتم تسريب البيانات عبر الواجهة البرمجية الشهيرة REST API التي تستخدم للوصول للبيانات واسترجاعها بشكل JSON غير محمي كفاية.
وترتفع خطورة نتائج البحث الأمني أكثر عندما نعرف أن هناك أكثر من 9 آلاف تطبيق لديه صلاحيات كتابة بيانات جديدة، ما يتيح للقراصنة بحقن بيانات خبيثة وإفساد قاعدة البيانات وحتى نشر تطبيقات وبرمجيات خبيثة أخرى.
وتم إبلاغ جوجل بالخلل الأمني وقالت الشركة أنها ستعلم مطوري التطبيقات المتضررة منها لإصلاح الخلل.
يذكر أن هذه ليست المرة الأولى التي تتعرض فيها قواعد بيانات Firebase لتسريب بيانات شخصية، حيث سبق لها تسريب 100 مليون سجل يحوي بيانات شخصين قبل عامين