Kapsamlı bir güvenlik analizi, Firebase ile çalışan mobil uygulamaları etkileyen yaygın bir güvenlik açığı ortaya çıkardı ve 150’den fazla popüler uygulama yanlış yapılandırılmış Google Firebase hizmetleri aracılığıyla hassas kullanıcı verilerini yanlışlıkla ortaya çıkardı.
Bu güvenlik krizinin kapsamı, dünya çapında milyonlarca indirme ile binlerce uygulamayı potansiyel olarak etkileyen önceki olayları cüceler.
Sadece üç uygulama kategorisinden yaklaşık 1.200 mobil uygulamanın güvenlik araştırmacısı analizi, Firebase uygulamalarında endişe verici güvenlik boşlukları ortaya koydu.
Tüm mobil uygulamaların yaklaşık% 80’ini oluşturan Firebase hizmetlerini kullanan uygulamalar arasında 150’den fazla, gerçek zamanlı veritabanları, depolama kovaları, Firestore veritabanları ve uzaktan yapılandırma sırları dahil olmak üzere kritik veri depolarına tamamen doğrulanmamış erişim sağladığı bulunmuştur.
Maruz kalan uygulamalar, minimum kullanıcı tabanlarına sahip belirsiz programlar değildir. Savunmasız uygulamaların birçoğu 100.000’i aşan indirme sayımlarına sahiptir ve sayısız uygulama 1 milyon, 5 milyon, 10 milyon, 50 milyon ve hatta 100 milyon indirmeye ulaşır.
Bu ölçek, sadece 500.000’den fazla indirmeyi etkileyen TeA uygulaması veri ihlalini önemli ölçüde aşıyor.
Project_id.appspot.com depolama kovasına erişmek için aşağıdaki Google API’sını kullanabiliriz:
Etkileri, tüm uygulama kategorilerinde tahmin edildiğinde daha çok ilgili hale gelir. Analiz edilen toplam 32-34 uygulama kategorisinden sadece üçü ile araştırmacılar, yaklaşık 4.800 Firebase hizmetine, çok miktarda hassas kullanıcı verisi içeren kimlik doğrulaması olmadan potansiyel olarak erişilebileceğini tahmin ediyor.
Maruz kalan hassas bilgi türleri
Maruz kalan verilerin çeşitliliği ve hassasiyeti şaşırtıcıdır. Araştırmacılar, ödeme ayrıntılarını, kapsamlı kullanıcı kişisel bilgilerini, milyonlarca benzersiz tanımlayıcı, özel mesajlaşma konuşmaları, şifreli kimlik bilgilerinin yanı sıra temiz metin şifrelerini, kullanıcı istemleri ve sorguları ve yüksek privilge GitHub ve Amazon Web Hizmetleri tokenlerini keşfettiler.
Firebase Yönetici SDK Dokümanları, bunun Eylül 2020’den önce oluşturulan gerçek zamanlı veritabanları için eski format olduğunu belirtiyor.
Bu keşifler, Firebase yanlış yakınlaştırmalarının yalnızca kullanıcı verilerini değil, daha geniş organizasyonel uzlaşmalar sağlayabilecek kritik altyapı erişim bilgilerini nasıl ortaya çıkarabileceğini vurgulamaktadır.
Birincil güvenlik açığı, Firebase’in “Test Modu” yapılandırma seçeneğinden kaynaklanır. Geliştiriciler Firebase depolama, gerçek zamanlı veritabanı veya FIRESTORE hizmetlerini başlattıklarında, verilerin varsayılan olarak özel kaldığı üretim modu – veya hızlı gelişimi kolaylaştırmak için verileri 30 gün boyunca halka açık hale getiren test modu arasında seçim yapabilirler.
Özellikle AWS kök hesabı erişim belirteçleri ve tam depo kontrolü sağlayan GitHub jetonları bulguları ile ilgilidir.
Başlangıçta, bu anahtarlar ve kimlikler otomatik olarak oluşturulur. google-services.json Yapı süresi sırasında dosya.
Firebase, geliştiricileri test modu güvenlik kurallarını test eder.
Bununla birlikte, birçok geliştirici bu izin verici kuralları uygun güvenlik konfigürasyonlarını uygulamak yerine 30 günlük sürenin ötesine uzatır.
Ek katkıda bulunan faktörler arasında Firebase Güvenlik Kurallarının yetersiz anlaşılması en iyi uygulamaları ve test amacıyla aşırı izin veren erişim kontrollerini öneren güvensiz kod örneklerine güvenmektir.
Mevcut Firebase güvenlik araçlarındaki sınırlamaları ele almak için araştırmacılar, mobil uygulama paketlerinden (APK’lar) Firebase konfigürasyonlarını çıkarabilen ve aynı anda birden fazla hizmette yetkisiz erişim için test eden otomatik bir güvenlik tarayıcısı olan OpenFirebase’i geliştirdiler.
Sınırlı yöntemler kullanarak tipik olarak yalnızca tek hizmetleri kontrol eden mevcut araçların aksine, OpenFirebase çeşitli URL formatları ve izin kombinasyonlarında Firebase depolama alanını, gerçek zamanlı veritabanlarını, uzaktan yapılandırmayı ve Firestore hizmetlerini kapsamlı bir şekilde tarar. Araç, binlerce uygulamada bireysel uygulamaları işleyebilir veya kütle analizi yapabilir.
Hizmete özgü güvenlik açığı bulguları
Firebase Depolama: 937 taranan proje arasında, 44 depolama kovası, 386 uygun şekilde korunan ve 507 geri dönen “bulunamamış” hatalarla kamu erişimine izin verdi.
Dikkate değer bir durum, kimlik doğrulaması olmadan erişilebilir kullanıcı kimliği fotoğraflarını saklayan 100+ milyon indirme ile bir uygulamayı içeriyordu.
Gerçek zamanlı veritabanları: Analiz, 937 proje arasında halka açık 35 veritabanını ortaya çıkardı, 277’si uygun şekilde korundu, 467 bulunamadı ve 158 kilitli veya devre dışı bırakıldı.
Maruz kalan veritabanları, kullanıcı kimlik bilgileri, sohbet görüşmeleri, konum koordinatları ve diğer hassas kişisel bilgiler içeriyordu.
Uzaktan yapılandırma: En yaygın maruziyet, sadece 61’i uygun şekilde korunan 383 kamuya açık uzaktan yapılandırmayı içeriyordu. Uzaktan yapılandırma maruziyeti doğal olarak sorunlu olmasa da, yaklaşık 30 örnek sert kodlanmış sırlar, API anahtarları ve kimlik doğrulama jetonları içeriyordu.
Firestör: Araştırmacılar, 929 taranan 929 arasında halka açık Firestore veritabanına sahip 50 proje tespit ettiler, 675 uygun şekilde korunmuş ve 122 veri deposu modunda. Yirmi dört spesifik koleksiyon açıkça erişilebilir olarak tanımlandı.
Firebase güvenlik krizi, mobil uygulama ekosisteminin temelini etkileyen sistemik bir sorunu temsil ediyor.
Firebase mobil uygulamaların yaklaşık% 80’ini güçlendirirken, bu yaygın yanlış yapılandırmalar milyonlarca kullanıcının hassas verilerini tehdit eden kapsamlı bir saldırı yüzeyi oluşturuyor.
Firebase kullanan kuruluşlar, güvenlik yapılandırmalarını derhal denetlemeli ve yetkisiz veri maruziyetini önlemek için uygun erişim kontrollerini uygulamalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.