Firebase 是 Google 的 移动和网页应用开发平台。开发者可以利用 Firebase 来简化移动和网页应用的开发，特别是针对 Android 平台的移动应用。

在 2021 年 7 月底，我们对开放的 Firebase 实例进行了研究。

在这项研究中，我们在我们的系统中发现了约 180300 个 Firebase 地址，并发现其中大约 19300 个 Firebase 数据库，107 的测试数据库是开放的，导致数据暴露给未认证的用户，这主要是由于应用开发者的配置错误。这是一个相当大的比例。

这些地址是从不同来源静态和动态提取的，主要来自 Android 应用。

我们对这些 Firebase 地址进行了检查，看看有多少是处于开放状态。在我们的测试中，我们仅查找未使用凭证的 “读取” 访问的实例。出于显而易见的原因，我们没有测试写入访问。

这些开放的 Firebase 实例使得通过其开发的应用所存储和使用的数据面临被盗的风险，因为应用可以存储和使用多种信息，其中包括 个人身份信息 (PII)，如姓名、出生日期、地址、电话号码、位置信息、服务令牌和密钥等。 当开发者采用不良实践时，数据库甚至可能包含明文密码。这意味着，使用 Firebase 应用的用户的个人信息中可能有超过 10 的人面临风险。

一个 “泄露” 实例的示例

当然，我们的测试仅显示了所有现有 Firebase 实例的一个子集。然而，我们认为这个 107 的数字可以作为当前开放的 Firebase 实例的合理代表样本。

我们将我们的发现反馈给 Google，并要求他们通知我们识别出的开放应用的开发者，并且我们也联系了一些开发者。Google 有多个功能来改善 Firebase 中的数据保护，包括关于潜在配置错误的通知和定期电子邮件。

虽然我们感谢 Google 基于我们的发现所采取的措施，但我们也认为，通知 Firebase 开发者有关配置错误数据库可能带来的风险，并遵循 Google 在 https//firebasegooglecom 提供的最佳实践是非常重要的。这也再次强调了在整个应用开发过程中将安全和隐私作为关键组成部分的重要性，而不仅仅是作为后期的 “附加” 功能。

最重要的是，我们希望呼吁所有开发者检查他们的数据库和其他存储，寻找可能的配置错误，以保护用户数据，并使我们的数字世界变得更加安全。

标签：分析、Android、数据库、firebase、泄露、配置错误、移动

分享XFacebook