Firebase là một nền tảng di động cho phép lập trình viên phát triển ứng dụng nhanh hơn và bảo mật hơn. Được Google mua lại từ năm 2014, Firebase có lượng người dùng đông đảo bởi lập trình viên có thể khai thác cơ sở dữ liệu được lưu trên mây, cập nhật theo thời gian thực, không cần xây dựng máy chủ riêng cho ứng dụng và Firebase cũng hỗ trợ nền tảng chéo giúp nhà phát triển đưa ứng dụng đến số đông dễ dàng hơn. Đặc tính của Firebase khiến các nhà phát triển phải ứng dụng bảo mật mọi thứ ngay từ đầu và nếu cấu hình lỗi thì cơ sở dữ liệu trên Firebase sẽ để lộ thông tin người dùng ứng dụng bao gồm mật khẩu, số điện thoại, cả tin nhắn chat.
Đây là nghiên cứu mới của công ty bảo mật Comparitech. Họ đã lấy mẫu 515.735 ứng dụng Android từ Google Play trong đó có 155.066 ứng dụng dùng Firebase. Lãnh đạo nghiên cứu Bob Diachenko đã xác nhận rằng có khoảng 11.730 ứng dụng trong số đó đang để lộ thông tin từ dữ liệu Firebase.
Đào sâu hơn thì nhóm nghiên cứu phát hiện ra có 9.014 ứng dụng đòi hỏi các quyền ghi dữ liệu vào máy và điều này cho phép kẻ tấn công thay đổi dữ liệu như xóa, đọc hay tải dữ liệu từ thiết bị. 4.282 ứng dụng trong số đó đang để rò rỉ dữ liệu nhạy cảm của người dùng.
Theo báo cáo của Comparitech thì dữ liệu để lộ bao gồm hơn 7 triệu địa chỉ email, 7 triệu tin nhắn, 4,4 triệu tên người dùng và 1 triệu mật khẩu cùng với 5 triệu số điện thoại. Đây là con số rất đáng quan ngại và thực tế có thể lớn hơn nữa. Theo ước tính đến tháng 3 năm 2020 thì có hơn 1,5 triệu ứng dụng đang sử dụng Firebase xuyên suốt giữa 2 nền tảng di động chính là Android và iOS. Số lượng ứng dụng mà Comparitech nghiên cứu vẫn chưa thấm vào đâu so với con số 1,5 triệu ứng dụng này.
Nhóm nghiên cứu cho biết họ tìm ra các ứng dụng đang để lộ dữ liệu bằng cách yêu cầu truy xuất URL cơ sở dữ liệu bằng hàm Firebase REST API vốn được dùng để lưu dữ liệu. Họ kỳ vọng máy chủ sẽ phản hồi từ chối truy xuất nhưng rốt cuộc kết quả trả về là toàn bộ dữ liệu đang được để lộ công khai. Nhóm nghiên cứu sau đó tìm kiếm các dữ liệu nhạy cảm và đi xác thực dữ liệu này thủ công. Họ sau cùng hủy toàn bộ dữ liệu có được theo các tiêu chuẩn và thủ tục "mũ trắng".
Để hạn chế tình trạng trên, lời khuyên được đưa ra nghe có vẻ đơn giản đó là phải cấu hình đúng ngay từ đầu nhưng mọi thứ lại không đơn giản như vậy. Đa phần gợi ý cho những tình huống này sẽ là nhà phát triển nên tuân theo hướng dẫn bảo mật và thủ tục của Firebase theo văn bản của Google. Tuy nhiên, tình trạng rò rỉ dữ liệu từ các cơ sở dữ liệu trực tuyến vẫn xảy ra thường xuyên và báo cáo hồi đầu năm nay cho thấy 82% lỗ hổng bảo mật nguy hiểm là do lối cấu hình sai.
Google cũng đã nắm thông tin và cho biết: "Firebase cung cấp nhiều tính năng cho phép các nhà phát triển thiết lập cấu hình triển khai an toàn. Chúng tôi đã thông báo cho các nhà phát triển về việc cấu hình sai trong quá trình họ triển khai ứng dụng và đưa ra các đề xuất để khắc phục. Chúng tôi cũng đang liên hệ với các nhà phát triển bị ảnh hưởng để giúp họ giải quyết các vấn đề này."
Đây là nghiên cứu mới của công ty bảo mật Comparitech. Họ đã lấy mẫu 515.735 ứng dụng Android từ Google Play trong đó có 155.066 ứng dụng dùng Firebase. Lãnh đạo nghiên cứu Bob Diachenko đã xác nhận rằng có khoảng 11.730 ứng dụng trong số đó đang để lộ thông tin từ dữ liệu Firebase.
Đào sâu hơn thì nhóm nghiên cứu phát hiện ra có 9.014 ứng dụng đòi hỏi các quyền ghi dữ liệu vào máy và điều này cho phép kẻ tấn công thay đổi dữ liệu như xóa, đọc hay tải dữ liệu từ thiết bị. 4.282 ứng dụng trong số đó đang để rò rỉ dữ liệu nhạy cảm của người dùng.
Theo báo cáo của Comparitech thì dữ liệu để lộ bao gồm hơn 7 triệu địa chỉ email, 7 triệu tin nhắn, 4,4 triệu tên người dùng và 1 triệu mật khẩu cùng với 5 triệu số điện thoại. Đây là con số rất đáng quan ngại và thực tế có thể lớn hơn nữa. Theo ước tính đến tháng 3 năm 2020 thì có hơn 1,5 triệu ứng dụng đang sử dụng Firebase xuyên suốt giữa 2 nền tảng di động chính là Android và iOS. Số lượng ứng dụng mà Comparitech nghiên cứu vẫn chưa thấm vào đâu so với con số 1,5 triệu ứng dụng này.
Nhóm nghiên cứu cho biết họ tìm ra các ứng dụng đang để lộ dữ liệu bằng cách yêu cầu truy xuất URL cơ sở dữ liệu bằng hàm Firebase REST API vốn được dùng để lưu dữ liệu. Họ kỳ vọng máy chủ sẽ phản hồi từ chối truy xuất nhưng rốt cuộc kết quả trả về là toàn bộ dữ liệu đang được để lộ công khai. Nhóm nghiên cứu sau đó tìm kiếm các dữ liệu nhạy cảm và đi xác thực dữ liệu này thủ công. Họ sau cùng hủy toàn bộ dữ liệu có được theo các tiêu chuẩn và thủ tục "mũ trắng".
Để hạn chế tình trạng trên, lời khuyên được đưa ra nghe có vẻ đơn giản đó là phải cấu hình đúng ngay từ đầu nhưng mọi thứ lại không đơn giản như vậy. Đa phần gợi ý cho những tình huống này sẽ là nhà phát triển nên tuân theo hướng dẫn bảo mật và thủ tục của Firebase theo văn bản của Google. Tuy nhiên, tình trạng rò rỉ dữ liệu từ các cơ sở dữ liệu trực tuyến vẫn xảy ra thường xuyên và báo cáo hồi đầu năm nay cho thấy 82% lỗ hổng bảo mật nguy hiểm là do lối cấu hình sai.
Google cũng đã nắm thông tin và cho biết: "Firebase cung cấp nhiều tính năng cho phép các nhà phát triển thiết lập cấu hình triển khai an toàn. Chúng tôi đã thông báo cho các nhà phát triển về việc cấu hình sai trong quá trình họ triển khai ứng dụng và đưa ra các đề xuất để khắc phục. Chúng tôi cũng đang liên hệ với các nhà phát triển bị ảnh hưởng để giúp họ giải quyết các vấn đề này."
Theo: Forbes
