Google Firebase is een populair back-end platform voor developers van mobiele- en web-applicaties. Het blijkt ook een enorm beveiligingsprobleem te hebben, blijkt uit onderzoek van security firma Appthority. Zij publiceerden op hun website dat duizenden apps zijn ontwikkeld zonder voldoende beveiliging of ingebouwde authenticatie op de Firebase endpoints, waardoor databases compleet onbeveiligd bleven. Uit het onderzoek van de firma bleek dat ruim 3.000 apps, waarvan 2.446 Android apps en 600 iOS apps, gegevens lekten van 2.300 databases met bij elkaar meer dan 100 miljoen records. Onder deze gegevens waren niet alleen persoonsgegevens en plain-text wachtwoorden te vinden, maar ook financiële gegevens en GPS-data.

Wat is er gebeurd?
Firebase is een backend developer tool, die realtime data synchroniseert onder de gebruikers van een applicatie, en deze data opslaat in de cloud in JSON-formaat. Maar wanneer een hacker de projectnaam weet, kan hij zichzelf toegang verschaffen door de API server aan te roepen en “.json” met een lege databasenaam toe te voegen achter de hostnaam. Dit lek wordt direct veroorzaakt doordat developers geen authenticatie of firewalls toe hebben gevoegd op de back-end, waardoor de data gewoon uit te lezen is.

Deze vulnerability is een nieuwe variant op de in 2017 ontdekte HospitalGown vulnerability, waarbij developers de back-end van hun applicatie niet voldoende beveiligden. In dit geval is de vulnerability specifiek gericht op developers die Firebase gebruiken.

De onderzoekers wijzen ook met de beschuldigende vinger naar Firebase zelf, omdat de applicatie niet standaard gebruikersdata beveiligt. In plaats daarvan moeten app-developers authenticatieregels toevoegen aan elke rij en elke tabel die zij in hun databases hebben staan. Inmiddels hebben de onderzoekers Google al gewaarschuwd van deze vulnerability. Ook hebben ze contact gezocht met een aantal app-developers om de issue te helpen oplossen.

Wat kunt u doen?
Op dit moment is er niet te zeggen welke apps er mogelijk data lekken, en of uw gegevens daardoor op straat zijn komen te liggen. Maar vanwege de grote hoeveelheid apps die worden ontwikkeld met behulp van Firebase, is het veilig om aan te nemen dat u wellicht getroffen bent. Als u zeker wilt zijn dat de wachtwoorden die u gebruikt om in te loggen op apps op uw telefoon niet gebruikt kunnen worden om in te loggen op andere platforms, zou u er voor kunnen kiezen om voor elke app een ander wachtwoord in te stellen. Maar wees er daarnaast ook bewust van hoeveel gegevens en informatie u invoert op apps op uw telefoon, en ga verantwoord om met het opslaan van persoonlijke informatie.

Lees relevante artikelen

Categorie  SSL & Security Vulnerability of the Month | Tags  firebase Security vulnerability