Çok sayıda mobil uygulamanın, yanlış yapılandırılmış Firebase hizmetleri aracılığıyla kritik kullanıcı bilgilerini ortaya çıkardığı ve kimlik doğrulanmamış saldırganların veritabanlarına, depolama kovalarına, firestore koleksiyonlarına ve uzaktan yapılandırma sırlarına erişmesine izin verdiği bulunmuştur.
Bu yaygın sorun, güvenlik araştırmacısı Mike Oude Reimer, 16 Eylül 2025’te bulgular yayınladığında ortaya çıktı ve en üst düzey mobil uygulamalarda yaklaşık 150 farklı Firebase uç noktasının herhangi bir kimlik doğrulaması olmadan erişilebilir olduğunu gösterdi.
Bu maruziyetler, kullanıcı kimlik bilgileri ve özel mesajlardan yüksek ayrıcalık API jetonlarına kadar değişmekte ve geliştiricilerin Firebase güvenlik kurallarını nasıl yapılandırdığı konusunda sistemik bir zayıflığın altını çizmektedir.
İlk açıklamayı izleyen haftalarda, ICE0 analistleri bu güvenlik açığından yararlanan otomatik tarama araçlarında bir artış belirledi ve saldırganlar milyonlarca rekor toplu olarak topladı.
Bu araçlar, APP APK dosyalarından veya bilinen adlandırma kurallarından Firebase proje kimliklerini çıkarmaya ve ardından açık izinler için çeşitli hizmet uç noktalarını araştırmaya dayanır.
Firebase, geliştiricileri 30 gün sonra test modu konfigürasyonlarının süresinin dolduğu konusunda uyarsa da, birçok ekip bu güvensiz kuralları genişletir veya üretim ortamlarını test modunda bırakır.
Sonuç, Miscreants’ın hem işletme hem de tüketici verilerini tehlikeye atarak minimum çaba ile sömürebileceği geniş bir saldırı yüzeyidir.
Etki, kamusal görüntüler veya duyarlı olmayan bayraklar gibi önemsiz kaynakların ötesine uzanır.
Ölçekte, açıkta kalan depolama kovaları milyonlarca kullanıcı kimliği fotoğrafı, temiz metin şifreleri ve hatta AWS kök erişim belirteçleri içeriyordu.
Bir örnekte, 100 milyondan fazla indirme içeren bir uygulamaya ait bir depolama kovası, kullanıcı kimliği fotoğraflarını barındırarak saldırganların geniş kimlik veritabanlarını derlemesine izin verildi.
Benzer şekilde, yanlış yapılandırılmış gerçek zamanlı veritabanlarında özel sohbet günlükleri ve coğrafi konum bilgileri ortaya çıkarken, uzaktan yapılandırma noktaları üçüncü taraf hizmetler için özel API anahtarlarını açıkladı.
ICE0 analistleri, bu sızıntıların çoğunun bildirilmediğini veya tam veri kümeleri indirilip denetlenene kadar görevli olmayan olarak görevden alındığını belirtti.
Aşağıdaki bölümde, APK çıkarma, uç nokta keşfi ve kime doğrulanmamış veri alımına odaklanan Firebase hizmetlerini numaralandırmak ve kullanma araçları tarama araçlarından yararlanan enfeksiyon mekanizmasını araştırmaktadır.
Enfeksiyon mekanizması: APK analizi ve uç nokta numaralandırması
OpenFirebase gibi tarama araçları, Firebase Project ID’leri, API anahtarlarını ve Google App ID’leri derlenmiş olandan çıkarma Android Paket Kiti (APK) dosyalarını ayrıştırarak başlar. res/values/strings[.]xml ve demlenmiş google-services[.]json.
Bu tanımlayıcılar, hizmet URL’leri oluşturmak için birincil girişler olarak işlev görür. Örneğin, gerçek zamanlı bir veritabanını almak için tarayıcı, basit bir GET isteği ekleme [.]json uç noktaya:
curl - s https[:]//PROJECT_ID-default-rtdb[.]firebaseio[.]com/[.]jsonYanıt HTTP 200 OK ve JSON içeriğini döndürürse, veritabanı kamuya açık olarak işaretlenir. Veritabanının farklı bir bölgede bulunduğu durumlarda, ilk istek, aracın isteği yeniden yayınlamak için kullandığı doğru bölgesel uç noktayı içeren bir JSON hatası döndürür.
.webp)
Bu iki aşamalı arama, olası her etki alanı varyasyonunu zorlamadan kapsamlı bir kapsama alanı sağlar.
Uzaktan yapılandırma için, tarayıcılar her ikisini de çıkarır google_api_key Ve google_app_id itibaren strings[.]xml Uzaktan yapılandırma API’sına bir yazı isteği oluşturmadan önce:
curl - s - X POST \
- H "Content-Type: application/json" \
- d '{"appId":"GOOGLE_APP_ID","appInstanceId":"any"}' \
"https[:]//firebaseremoteconfig[.]googleapis[.]com/v1/projects/PROJECT_ID/namespaces/firestore[:]fetch"Yapılandırma verileri veya sırlar içeren başarılı bir 200 OK yanıtı, uzaktan yapılandırma girişlerine yetkilendirilmemiş erişimi onaylar.
Bazı konfigürasyonlar arasında NOTEMPLATE Yapılandırma olmadığında hata, tarayıcıların korunan ve boş uç noktalar arasında ayrım yapmasına izin verir.
APK ayrışmasını JADX gibi araçlarla otomatikleştirerek ve Firestore koleksiyon adları aracılığıyla – kod referanslarından çıkarılan veya kelime listeleri aracılığıyla tahmin edilen – atakçılar kamu firestore örneklerini numaralandırabilir.
.webp)
Var olmayan bir koleksiyona sorgu, bir kimlik doğrulama hatası yerine boş bir JSON dizisi döndürür ve toplama adları hakkında önceden bilgi sahibi olmadan güvenlik açığını işaret eder.
APK meta veri ekstraksiyonunu hedeflenen API çağrılarıyla birleştiren bu enfeksiyon mekanizması, minimum bilgi açıklamasının tam veri sızıntısına nasıl yol açabileceğini vurgulamaktadır. Kuruluşlar
Firebase, bu otomatik saldırıları önlemek için katı güvenlik kurallarını uygulamalı, denetim testi-modu son kullanma sürelerini uygulamalı ve sabit kodlu anahtarları kaldırmalıdır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
