Hơn 4000 ứng dụng di động đang làm rò rỉ dữ liệu người dùng do lỗi cấu hình Firebase
bk9sw
1 nămBình luận: 37
Hơn 4000 ứng dụng di động đang làm rò rỉ dữ liệu người dùng do lỗi cấu hình Firebase
Firebase là một nền tảng di động cho phép lập trình viên phát triển ứng dụng nhanh hơn và bảo mật hơn. Được Google mua lại từ năm 2014, Firebase có lượng người dùng đông đảo bởi lập trình viên có thể khai thác cơ sở dữ liệu được lưu trên mây, cập nhật theo thời gian thực, không cần xây dựng máy chủ riêng cho ứng dụng và Firebase cũng hỗ trợ nền tảng chéo giúp nhà phát triển đưa ứng dụng đến số đông dễ dàng hơn. Đặc tính của Firebase khiến các nhà phát triển phải ứng dụng bảo mật mọi thứ ngay từ đầu và nếu cấu hình lỗi thì cơ sở dữ liệu trên Firebase sẽ để lộ thông tin người dùng ứng dụng bao gồm mật khẩu, số điện thoại, cả tin nhắn chat.

Đây là nghiên cứu mới của công ty bảo mật Comparitech. Họ đã lấy mẫu 515.735 ứng dụng Android từ Google Play trong đó có 155.066 ứng dụng dùng Firebase. Lãnh đạo nghiên cứu Bob Diachenko đã xác nhận rằng có khoảng 11.730 ứng dụng trong số đó đang để lộ thông tin từ dữ liệu Firebase.

Đào sâu hơn thì nhóm nghiên cứu phát hiện ra có 9.014 ứng dụng đòi hỏi các quyền ghi dữ liệu vào máy và điều này cho phép kẻ tấn công thay đổi dữ liệu như xóa, đọc hay tải dữ liệu từ thiết bị. 4.282 ứng dụng trong số đó đang để rò rỉ dữ liệu nhạy cảm của người dùng.

Firebase (2).png
Theo báo cáo của Comparitech thì dữ liệu để lộ bao gồm hơn 7 triệu địa chỉ email, 7 triệu tin nhắn, 4,4 triệu tên người dùng và 1 triệu mật khẩu cùng với 5 triệu số điện thoại. Đây là con số rất đáng quan ngại và thực tế có thể lớn hơn nữa. Theo ước tính đến tháng 3 năm 2020 thì có hơn 1,5 triệu ứng dụng đang sử dụng Firebase xuyên suốt giữa 2 nền tảng di động chính là Android và iOS. Số lượng ứng dụng mà Comparitech nghiên cứu vẫn chưa thấm vào đâu so với con số 1,5 triệu ứng dụng này.

Nhóm nghiên cứu cho biết họ tìm ra các ứng dụng đang để lộ dữ liệu bằng cách yêu cầu truy xuất URL cơ sở dữ liệu bằng hàm Firebase REST API vốn được dùng để lưu dữ liệu. Họ kỳ vọng máy chủ sẽ phản hồi từ chối truy xuất nhưng rốt cuộc kết quả trả về là toàn bộ dữ liệu đang được để lộ công khai. Nhóm nghiên cứu sau đó tìm kiếm các dữ liệu nhạy cảm và đi xác thực dữ liệu này thủ công. Họ sau cùng hủy toàn bộ dữ liệu có được theo các tiêu chuẩn và thủ tục "mũ trắng".

firebase (1).png
Để hạn chế tình trạng trên, lời khuyên được đưa ra nghe có vẻ đơn giản đó là phải cấu hình đúng ngay từ đầu nhưng mọi thứ lại không đơn giản như vậy. Đa phần gợi ý cho những tình huống này sẽ là nhà phát triển nên tuân theo hướng dẫn bảo mật và thủ tục của Firebase theo văn bản của Google. Tuy nhiên, tình trạng rò rỉ dữ liệu từ các cơ sở dữ liệu trực tuyến vẫn xảy ra thường xuyên và báo cáo hồi đầu năm nay cho thấy 82% lỗ hổng bảo mật nguy hiểm là do lối cấu hình sai.

Google cũng đã nắm thông tin và cho biết: "Firebase cung cấp nhiều tính năng cho phép các nhà phát triển thiết lập cấu hình triển khai an toàn. Chúng tôi đã thông báo cho các nhà phát triển về việc cấu hình sai trong quá trình họ triển khai ứng dụng và đưa ra các đề xuất để khắc phục. Chúng tôi cũng đang liên hệ với các nhà phát triển bị ảnh hưởng để giúp họ giải quyết các vấn đề này."

Theo: Forbes
Flat White
ĐẠI BÀNG
1 năm
Dev mới vào nghề toàn viết chạy dc chứ mấy cái này lỗ hổng là bình thường 😁
hppl
TÍCH CỰC
1 năm
@Flat White người dùng cũng thế thôi ,chả ai muốn xài ứng dụng phức tạp ,bảo mật tùm lum tà la ,cứ đơn giản hiệu quả là cả đóng người xài
kutipro1255
ĐẠI BÀNG
1 năm
Không có cái gì đáng lo để lộ thì có phải suy nghĩ gì ko :v
Dùng androi mà đọc mấy bài kiểu này thì cứ tự nhủ: chắc nó trừ mình ra, thế là khỏe re.
@phatkrongana Cmt vui chứ có gì đâu 😆 lắm thằng nhạy cảm vl.. T dùng androi và t nghĩ thế thật mà, vì t đếu quan tâm mấy cái tin kiểu này lắm.
@satomi91 T đọc đoạn này nên hiểu thế thôi
Screenshot_20200514-114503.png
ha26
TÍCH CỰC
1 năm
@Đạt Phít Một Mong có thế
@ha26 Tự tìm cách bảo vệ mình 1 cách cơ bản thôi, còn lại bọn hdh nó lo chứ chuyên sâu kiểu này m lo có tác dụng gì đâu 😆
ngoanrazo
TÍCH CỰC
1 năm
"Được Google mua lại từ năm 2004" sai nhé mod, năm 2014 mới đúng
ngày mowisvui vẻ
khanhvb123
ĐẠI BÀNG
1 năm
Cấu hình chạy được là toát mồ hôi rồi, Sờ C.u ri ti tính sau nhá nhá....
Hình như người dịch bài không phải dân dev ?!? Đọc thấy chỏi chỏi làm sao ấy 😔
mình cũng chỉ 1 ng dân bt thôi mà
vqt907
CAO CẤP
1 năm
thường là nên tạo 2 acc, 1 acc dev k cấu hình bảo mật và 1 acc cho production bảo mật cao, nhưng nhiều dev lười hoặc thiếu kinh nghiệm k thèm làm
Firebase nó có firebase rule cho cả Realtime DB và Storage. Các ông ko để ý cái này, set public hết thì sẽ dò ra được đường dẫn DB và chỉnh sửa thoải mái thôi. Firebase nó cung cấp đủ công cụ để bảo mật rồi, ko chịu xài thì tèo thôi 😁

Cả tiêu đề bài viết và nội dung đều có vẻ như bảo đấy là do lỗi của Firebase, hoặc là làm người đọc hiểu nhầm đó là lỗi của Firebase. Nhưng đây là lỗi của Dev chứ k phải firebase
config bằng javascript thì không bảo mật gì
Khó cho người dùng quá, cần mới down/mua về dùng, rủi ro thì tràn lan
duytrung2121
ĐẠI BÀNG
1 năm
Một "tính năng" của Google để lấy thông tin thôi mà, hướng dẫn bảo mật rắc rối để các dev ko thèm áp dụng!
raindal
ĐẠI BÀNG
1 năm
@duytrung2121 Bạn có xài Firebase chưa mà bạn biết nó rắc rối? Các rule bảo mật của Firebase hoàn toàn là các thủ tục cơ bản và tiêu chuẩn mà dev nào cũng phải biết. Còn mấy bạn dev mới vào nghề, thiếu kinh nghiệm và kiến thức bảo mật thì chịu thôi. Cấu hình Firebase đúng rất đơn giản nhé - theo tiêu chuẩn chung. Nhưng vì thiếu kinh nghiệm và tâm lý muốn nhanh gọn lẹ nên nhiều người bỏ qua.
@raindal Đáng lý ra bài này phải do mod Luân viết vì ông ấy trong nghề, các mod khác ko biết viết theo kiểu tổng hợp tin tức rồi chữ được chữ mất, sai hết cả ý nghĩa đi
raindal
ĐẠI BÀNG
1 năm
@trantuananh1996 Cũng khó. Mình để ý nhiều bài mod Luân viết thì người ngoài ngành đọc cũng hiểu sai tè le. Mình nghĩ do đã không có chuyên môn thì rất khó hiểu mấy chuyện này, kể cả bài viết đúng dành cho đại chúng thì cũng phải người có tí kiến thức mới nắm được.
Lộ hay ko thì có chúa mới biết 😁
quangduy2108
ĐẠI BÀNG
1 năm
Xưa mình code vọc làm xample cũng chỉ cấu hình cơ bản kiểu đọc phần nào của doc mà support cho nó run thì mình dùng thôi. Chứ ít khi đọc mấy cái notice hay security. Lỗi cơ bản hay gặp của NEWBIE mà 😁
Yamahazu
TÍCH CỰC
1 năm
Ở Vn khỏi cần ứng dụng, vừa mới ra khỏi sân bay là ms tới tấp đủ loại 🚕...taxi
ha26
TÍCH CỰC
1 năm
Kinh khủng quá 😱
Chán


Tải app Tinh tế

Tải app Tinhte - Theo dõi thông tin mà bạn yêu thích

Tải app TinhteTải app Tinhte
Tải app Tinh tế cho Android trên Google PlayTải app Tinh tế cho iPhone, iPad trên App Store





Đang theo dõi




  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2021 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019