Trên 3000 app Android và iOS để lộ dữ liệu người dùng vì không khóa truy cập vào cơ sở dữ liệu

Firebase là nền tảng được Google mua lại để giúp các lập trình viên làm app nhanh gọn lẹ, nhưng cũng vì quá dễ cấu hình nên nhiều nhà phát triển đã để lộ dữ liệu của app do không bảo mật cơ sở dữ liệu đủ tốt. Công ty bảo mật Avira đã quét 2,7 triệu app di động và phát hiện rằng có 2446 app Android, 600 app iOS phơi thông tin của người dùng và ai cũng có thể lấy được dữ liệu đó nếu họ biết đúng đường link. Tổng lượng dữ liệu là 100 triệu dòng với dung lượng vào khoảng 113GB.

Trong số dữ liệu bị rò rỉ:

Có 2,6 triệu user ID và password không được mã hóa
Trên 4 triệu dòng thông tin về sức khỏe phải được bảo mật theo quy định của Mỹ (các đoạn chat và chi tiết về thuốc men)
25 triệu dòng có dữ liệu GPS
50.000 dòng dữ liệu liên quan đến tài chính, thanh toán, giao dịch Bitcoin
Trên 4,5 triệu token của tài khoản Facebook, LinkedIn, Firebase

Thêm chút thông tin, dữ liệu của Firebase được lưu trên một dịch vụ gọi là Firebase Database (hay Real time database), khi sử dụng dịch vụ này các app không cần duy trì cơ sở dữ liệu riêng, mọi thứ đã có Google lo. Nhưng không phải ai cũng cấu hình việc giới hạn truy cập cho database, và chỉ cần đường link dạng https://<tên dự án>.firebaseio.com/.json là có thể lấy được data rồi.

Hiện Google đã thông báo với các lập trình viên có app bị rò rỉ thông tin và họ đang tiến hành khắc phục sự cố.

Nguồn: Avira

hailongan

TÍCH CỰC

6 năm

Đơn giản quá nên khi làm không quan tâm nhiều, cái gì cũng để dịch lo nên vậy

quang_35

iOS cũng như Android, khi bạn không bỏ toàn ra mua món hàng mình muốn thì lúc đó bạn đã thành món hàng 😆

dac

VIP

@quang_35 Liên quan ghê

@dac Sao không liên quan?

@quang_35 Bạn chỉ giáo giúp liên quan chỗ nào giữa cái Firebase với việc bạn nói?!

minhthuvc

May quá xài WP .

mrdrg10

@minhthuvc App dùng firebase là bị, cái này không liên quan đến OS, WP ko được nhắc đến chẳng qua là ít người dùng quá thôi bác.

ngghuyy

CAO CẤP

@mrdrg10 Mình từng hỏi google dev team. Firebase có hỗ trợ WP ko. Tụi nó nhìn mình như mới té từ trên trời xuống😆))))

pvtq9

@ngxhuy Nó đang cười bạn đó. Nó sử dụng rest ful webservice thì nền tảng nào chả sử dụng được

Momus

ĐẠI BÀNG

@pvtq9 Đúng rồi, chưa kể đã có lib firebase cho C#

@pvtq9 Tất nhiên ai chả biết. Hồi đó 3 năm trc wp còn thịnh.

htevn

“có 2446 app Android, 600 app iOS”

Pnghuy

Có gì là bảo mật tuyệt đối

kekk

Chỉ là "quên" thôi mà, làm gì căng thế 😁

Your Life By My Side

thôi k sao, mình đã là món hàng của anh mark từ lâu rồi

ngoanrazo

sao đơn giản vậy ta, mình cấu hình firebase phải có package name nữa mà đâu đơn giản là đường link đâu

BBLand

@ngoanrazo Do rules trong firebase nếu ko config Auth

superboyvc

@BBLand Cái này mấy cái app con con, test app mới ko config thui. Config dễ không mà mấy bố dev lười.

Emranhieulam1990

Tóm lại chả cái gì an toàn bằng chính bản thân mình tự bảo mật thông tin.Nokia 110i bảo mật tốt nhất thế giới !

AZwarrior

@Emranhieulam1990 Nó gắn trực tiếp vào trong máy ấy k mở ra làm sao biết.

@AZwarrior Cái gì gắn vào trong máy vậy ? Cái nokia 110 i cổ lỗ sĩ làm gì có app cài vào đâu mà tự động gắn .

UtducdotCom

@Emranhieulam1990 Không hiểu ý hoặc bạn bị ngu

@storyteller Nguyễn Cũng có thể là bạn dốt không biết cách trình bày nên mình không hiểu.

thi3f2605

có app tinhte không nhỉ?

vxx9x

h chỉ cần làm tool để chạy ra listdomain rồi test là cào về được rồi :v

banh.tieu

Cái này Ko liên Quan tới iOS hat Android vì nó ở phía server

Hoc_Chuc đã nói: ↑

Có 1 cái sự thật là có rất nhiều app android được đăng lên store chỉ để demo (do cơ chế kiểm duyệt dễ dãi của Google), và đúng là những app này của mấy em tay mơ mới vào nghề nên mới có việc mấy em không biết khoá auth lại. Chứ trong product thật sự mà không khoá auth thì khó lắm vì cả 2 nền tảng đều dùng chung, đều cùng cấu hình firebase, thậm chí firebase do backend, quản lý nắm thì làm gì có chuyện product lên store mà chưa khoá.
Nhưng giờ tôi nói đến bạn, kiểu comment quy chụp "đám lập trình viên Android nó lơm cơm" là xúc phạm người khác rất nặng nề. Tôi đề nghị bạn tự xoá comment đi há.

@Hoc_Chuc Éo. Hahahaha

@kiji1340 Thằng dev ko biết config sao cho không lộ à?

Hoc_Chuc

@htevn Haiz, nghiệp gây ra do lời nói từ miệng, bữa nay bạn cố chấp quy chụp người khác thì sau này người khác quy chụp bạn. Bye nhé. Hết thuốc. 😕

egoz

@Hoc_Chuc bạn trên nói đúng rồi, android dễ quá nên dev lôm côm đầy ra

betri28

Cái này từ đầu firebase đã nói rõ rồi mà, có 4 cấp bảo mật database: auth (mặc định), public, user, private. Khi mới khởi tạo dự án thì firebase sẽ để mặc đinh auth - cần chứng thực trong app mới vào lấy đc data, trừ khi dev làm biếng viết chứng thực trong app sẽ chỉnh lại chế độ public, ai muốn lấy gì thì lấy. Nhưng đa phần để public thì data sẽ không có gì quá đáng giá

AGE-FX

2446 app Android, 600 app iOS, con số nói lên độ an toàn của app😃

thanh_satria

Nhiều cách bảo mật lắm. Tự mình bảo vệ mình

Nguyen Thanh 1998

Chắc mấy ông mở database để test app, xong public app quên khoá lại ấy mà

tucammoi

cho xin tên app đi.

Apple Haters 2.01

Đám ifan nghe tin điện thoại có lỗ hổng bảo mật thì mừng hơn cha chết.

blackberry4311

cái này sao nghe đơn giản quá nhỉ, cấu hình firebase lúc nào cũng có auth kèm theo mà ta, đã thế theo cơ chế nếu dùng FE và BE tách biệt ra thì tất cả authen đều đi từ BE đến firebase, như thế thì sao lộ được ta

Trên 3000 app Android và iOS để lộ dữ liệu người dùng vì không khóa truy cập vào cơ sở dữ liệu

CHỦ ĐỀ TƯƠNG TỰ

Chip Kirin 9010 của Huawei Pura 70: Nâng cấp mạnh so với Kirin 9000s, chưa rõ là 5 hay 7nm

Ấn tượng đầu tiên về Huawei Pura 70 Ultra: Ngoại hình độc lạ, camera nâng cấp nhiều công nghệ mới

Sự kiện Sony Xperia tổ chức ngày 17/5, Xperia 1 VI sẽ ra mắt tại đây?

Huawei Pura 70 Series ra mắt: Bốn phiên bản với thiết kế độc đáo, Kirin 9010, camera 50 MP pop-up