الملايين من كلمات المرور ومواقع GPS والسجلات المالية بدون حماية على مرأى من الجميع – ويمكن أن تكون واحد منهم. فحص الباحثون في Appthority ، وهي شركة أمان متنقلة ، كل من تطبيقات Android و iOS التي تستخدم قواعد بيانات Firebase لتخزين بيانات المستخدمين.
بالنسبة إلى غير المطلعين ، يعد Firebase نظامًا أساسيًا رائجًا قائمًا على السحابة لتطبيقات الجوال والويب. وكانت الشركة حصلت عليها جوجل مرة أخرى في عام 2014، لذلك وجدت قاعدة مستخدمين حقيقية بين بعض كبار المطورين . لتضليل المستخدمين إلى مشاركة البيانات الشخصية ما وجده باحثو الأمن المحمول هو أمر ينذر بالخطر بالنسبة إلى تقريرهم ، نظر Appthority إلى أكثر من 2.7 مليون تطبيق جوّال على كل من iOS و Android.
وجد الباحثون أنه من بين 27،227 تطبيق Android و 1،775 تطبيق iOS :
التي تخزن بيانات التطبيق في أنظمة قواعد البيانات في Firebase ، فإن 3046 من هذه التطبيقات قد حفظت البيانات ضمن 2،271 قاعدة بيانات غير آمنة يمكن لأي شخص الوصول إليها حرفيًا. من بين هذه التطبيقات التي تقوم بتخزين هذه البيانات بشكل مفتوح لأي شخص يراها ، يوجد 2،446 على Android والرقم 600 المتبقي عبارة عن تطبيقات iOS. إذاً ، ما الذي يتم تخزينه بالضبط هنا على مرأى من العالم ليراه؟ من بين جميع هذه التطبيقات الضعيفة ، تشمل البيانات التي تم تسريبها: 2.6 مليون معرف مستخدم وكلمات مرور في نص عادي ، و 25 مليون سجل موقع مخزّن لنظام تحديد المواقع العالمي ، و 50 ألف سجل للمعاملات المالية داخل التطبيق ، وأكثر من 4.5 مليون رقم مميز لمستخدمي وسائط التواصل الاجتماعي. تتضمن البيانات الأخرى التي يتم تسريبها أكثر من 4 ملايين من سجلات المعلومات المحمية (Protect Health Information) التي تحتوي على الدردشات الخاصة والسجلات الطبية.
حجم البيانات المسربة من تطبيقات Android و تطبيق iOS :
في المجموع ، أكثر من 100 مليون سجل فردي تغطي ما مجموعه 113 غيغا بايت من البيانات تشكل المعلومات التي يمكن الوصول إليها في الانتهاك. تم تنزيل تطبيقات Android المتأثرة أكثر من 620 مليون مرة من متجر Google Play. ما مدى سهولة وصول أي شخص إلى هذه البيانات الشخصية؟ وفقًا للتقرير ، لا تتم حماية الواجهات الضعيفة من Firebase بواسطة الجدران النارية أو أنظمة المصادقة. للحصول على الدخول إلى قواعد البيانات غير الآمنة هذه ، سيحتاج “الهاكر” ببساطة إلى تضمين اسم قاعدة بيانات فارغ في نهاية اسم المضيف (على سبيل المثال ، “https://appname.firebaseio.com/ و. json “).
يشير الباحثون إلى أنهم اتصلوا بشركة Google قبل إصدار هذا التقرير :
. ويقولون إنهم قدموا أيضًا إلى Google قائمة كاملة بالتطبيقات غير الآمنة ،
إلى جانب التواصل مع مطوري التطبيقات أنفسهم. على الرغم من عدم الإعلان عن قائمة التطبيقات الضعيفة ،
إلا أنها تتضمن تطبيقات في فئات تتراوح من الرسائل إلى الرسائل المالية والصحية والسفر.
تقع الشركات أو المبدعين وراء هذه التطبيقات المتأثرة حول العالم. هذا الحادث
على طول مع عدد لا يحصى من الآخرين يستمر
لإثبات أن هناك الكثير
من اليسار إلى المستوى المطلوب من الشركات
التي تخزين البيانات الشخصية الأكثر خاصة لدينا.
