Hơn 4.000 ứng dụng Android làm lộ dữ liệu người dùng

13:55 | 28/05/2020

Hơn 4.000 ứng dụng Android sử dụng cơ sở dữ liệu Firebase được lưu trữ trên đám mây của Google đã "vô tình" rò rỉ thông tin nhạy cảm về người dùng của họ, bao gồm: địa chỉ email, tên người dùng, mật khẩu, số điện thoại, tên đầy đủ, tin nhắn trò chuyện và dữ liệu vị trí.

Trang tin Security Discovery và công ty Comparitech (Anh) đã hợp tác mở cuộc điều tra về 15.735 ứng dụng Android (chiếm khoảng 18% trong tổng số ứng dụng trên cửa hàng Google Play). Công ty Comparitech cho biết, 4,8% ứng dụng di động sử dụng Google Firebase để lưu trữ dữ liệu người dùng không được bảo mật đúng cách, cho phép truy cập cơ sở dữ liệu chứa thông tin cá nhân của người dùng, mã truy cập (token) và các dữ liệu khác mà không cần mật khẩu hoặc bất kỳ yêu cầu xác thực nào".

Được Google mua lại vào năm 2014, Firebase là một nền tảng phát triển ứng dụng di động phổ biến, cung cấp nhiều công cụ để giúp các nhà phát triển ứng dụng bên thứ ba xây dựng ứng dụng, lưu trữ dữ liệu và tệp ứng dụng một cách an toàn, khắc phục sự cố và thậm chí trao đổi với người dùng qua tin nhắn trong ứng dụng.

Với các ứng dụng dễ bị tấn công, chủ yếu thuộc các nhóm trò chơi, giáo dục, giải trí và kinh doanh, Comparitech cho rằng, rất có thể quyền riêng tư của người dùng Android đã bị xâm phạm bởi ít nhất một ứng dụng. Vì Firebase là một công cụ đa nền tảng, các nhà nghiên cứu cũng cảnh báo rằng các cấu hình sai cũng có khả năng ảnh hưởng đến hệ điều hành iOS và các ứng dụng web.

Nội dung đầy đủ của cơ sở dữ liệu trải rộng trên 4.282 ứng dụng, bao gồm: hơn 7 triệu địa chỉ email, hơn 4,4 triệu tên người dùng, hơn 1 triệu mật khẩu, hơn 5,3 triệu số điện thoại, hơn 18,3 triệu tên đầy đủ, hơn 6,8 triệu tin nhắn trò chuyện, hơn 6,2 triệu dữ liệu GPS, hơn 156.000 địa chỉ IP và hơn 560.000 địa chỉ đường phố.

Điều tra viên đã sử dụng API REST của Firebase để truy cập dữ liệu được lưu trữ trên các cơ sở dữ liệu không được bảo vệ, được truy xuất ở định dạng JSON, bằng cách thêm "/.json" vào URL cơ sở dữ liệu (ví dụ: https://~project_id~.firebaseio.com /.json).

Ngoài 155.066 ứng dụng có cơ sở dữ liệu được công khai, các nhà nghiên cứu đã tìm thấy 9.014 ứng dụng có quyền ghi, do đó có khả năng cho phép kẻ tấn công truyền dữ liệu độc hại và làm hỏng cơ sở dữ liệu, thậm chí phát tán phần mềm độc hại.

Vấn đề phức tạp hơn nữa là việc lập chỉ mục các URL cơ sở dữ liệu Firebase của các công cụ tìm kiếm như Bing, để lộ các điểm cuối dễ bị tổn thương cho bất kỳ người dùng Internet. Tuy nhiên, khi tìm kiếm bằng Google thì không trả lại kết quả.

Sau khi Google được thông báo về những phát hiện vào ngày 22/4/2020, gã khổng lồ tìm kiếm cho biết họ sẽ liên hệ với các nhà phát triển bị ảnh hưởng để khắc phục các vấn đề.

Đây không phải là lần đầu tiên cơ sở dữ liệu Firebase bị rò rỉ thông tin cá nhân. Các nhà nghiên cứu từ công ty bảo mật di động Appthority (Mỹ) đã tìm thấy trường hợp tương tự hai năm trước, làm lộ 100 triệu bản ghi.

Việc một cơ sở dữ liệu có thể truy cập mà không yêu cầu bất kỳ xác thực nào như một lời mời mở cho những kẻ tấn công. Do đó, các nhà phát triển ứng dụng nên tuân thủ các quy tắc cơ sở dữ liệu của Firebase để bảo mật dữ liệu và ngăn chặn truy cập trái phép.

Người dùng chỉ nên sử dụng các ứng dụng đáng tin cậy và thận trọng với thông tin được chia sẻ với một ứng dụng.