Offene Firebase-Datenbanken: Tausende Apps leaken Passwörter, Nutzerdaten etc.
Dritte könnten mit vergleichsweise wenig Aufwand private Daten von Millionen App-Nutzern einsehen, warnen Sicherheitsforscher.
(Bild: Pixabay)
Offensichtlich sichern viele App-Entwickler ihre Firebase-Datenbank nur unzureichend ab, sodass sich Unbefugte Zugang zu Nutzerdaten verschaffen können. Das zeigen Sicherheitsforscher von Appthority in einem Report auf. Firebase ist eine App-Plattform von Google, die viele Entwickler für Android- und iOS-Anwendungen nutzen, um dort etwa Daten von Nutzern abzulegen.
In den offenen Datenbanken haben die Sicherheitsforscher eigenen Angaben zufolge beispielsweise 2,6 Millionen unverschlüsselte Passwörter, API Keys und Finanzdaten von Unternehmen entdeckt. Insgesamt sind sie auf mehr als 2200 unsicher konfigurierte Firebase-Datenbanken mit rund 113 GByte an Daten gestoßen.
Die Sicherheitsforscher geben an, Google vor Erscheinen ihres Berichtes über die betroffenen Apps und Firebase-Server informiert zu haben. Inwieweit Server bereits abgesichert wurden, ist derzeit nicht bekannt.
Tausende Apps betroffen
Für ihren Report hat Appthority 2,7 Millionen Android- und iOS-Apps untersucht. Davon arbeiten ihnen zufolge 28.502 mit einem Firebase-Back-End. Von diesen speichern 3.046 (2.446 Android und 600 iOS) Daten in unsicher konfigurierten Datenbanken. Auf diese soll ein Schnüffler vergleichsweise einfach zugreifen können. Den Sicherheitsforschern zufolge genügt es, eine Server-URL mit "/.json" zu erweitern.
An betroffenen Apps führen die Sicherheitsforscher lediglich Booster Fuels: On Demand, Cryptoportz – Coin Portfolio Tracker und Workhive: Team Chat auf. Unter den betroffenen Android-Apps müssen einige sehr populäre sein, schließlich steht im Report, dass die Anwendungen insgesamt mehr als 620 Millionen mal heruntergeladen wurden.
Datenbank sicher machen
Standardmäßig schützt Firebase in der Datenbank abgelegte Daten nicht. Wer das Back-End nutzt, sollte unbedingt die Authentifizierung aktivieren, sodass ausschließlich berechtigte Personen darauf zugreifen können.
Das Problem von offenen Datenbanken im Internet ist nicht neu: In der Vergangenheit sorgten immer wieder öffentlich zugängliche MongoDB-Datenbanken für Schlagzeilen. (des)
