Google je stekao 2014. godine, Firebase je mobilna platforma koja pomaže korisnicima da brzo i sigurno razvijaju aplikacije. Zamislite to kao platformu za proizvodnju aplikacija po izboru za ogroman broj programera, koristeći prednost cloud-hosting baze podataka u stvarnom vremenu koja omogućava lako skladištenje i sinhronizaciju podataka između korisnika. Lako stvara platformu kolaboracije, donosi razvoj aplikacija bez servera masi i jak je u bezbjednosti zasnovanom na korisniku.
Ako je to slučaj, programeri prvo bezbijedno konfigurišu sve. Novo istraživanje kompanije Comparitech sugerira da uobičajene pogrešne konfiguracije baza podataka Google Firebase izlažu osjetljive informacije, uključujući lozinke, telefonske brojeve i poruke za chat, svima koji to žele. Evo šta treba da znate.
Problem sa greškama u konfiguraciji Android aplikacije prema brojevima
Istraživački tim Comparitech o bezbijednosti na čelu sa Bobom Diačenkom analizirao je uzorak od 515.735 Android aplikacija iz prodavnice Google Play. Od toga 155.066 koristi Firebase. Razgovarao sam s Diačenkom, koji je potvrdio da je iz uzorka koji koristi Firebase oko 11.730 tih aplikacija javno izložilo tu Firebase bazu podataka.
Bušenjem još više, 9.014 je uključivalo potrebna dozvola za pisanje kako bi potencijalni napadač mogao da mijenja podatke, uključujući dodavanje ili brisanje, kao i samo pregledavanje ili preuzimanje. A govoreći o tome, Comparitech analiza je otkrila da 4.282 aplikacija propušta osjetljive informacije.
Prema izvještaju, izloženi podaci uključuju više od 7 miliona adresa e-pošte i gotovo isti broj poruka u čavrljanju. Zatim treba uzeti u obzir 4,4 miliona korisničkih imena i milion lozinki, zajedno s 5 miliona telefonskih brojeva.
Svi oni su dovoljno zabrinjavajući, jer su to veliki brojevi, ali ih treba staviti u neku perspektivu. Procijenjeno je da je više od 1,5 miliona aplikacija koristilo platformu Firebase, preko Android-a i iOS-a, u martu 2020. Čak i ako ekstrapolirate iz brojeva analiza, kao što je Comparitech uradio da bi dostigao ukupno 24.000 Android aplikacija koje potencijalno propuštaju osjetljive podatke Zbog takvih grešaka u konfiguraciji, to je samo 1,6% svih aplikacija koje koriste Firebase i 0,94% svih aplikacija koje su dostupne za preuzimanje sa samog Google Play-a.
Lov na izložene aplikacije Firebase baze podataka
Istraživači Comparitech-a bili su u stanju da otkriju aplikacije koje su javno izložile baze podataka tako što su prvo pretraživali resurse aplikacija za tekstualne nizove koji ukazuju na upotrebu Firebase-a. Odatle, dodavanju zahtjeva URL-u baze podataka s .json javnim bazama podataka kojima se može pristupiti preko Firebase REST API-ja za pohranjene podatke. Odgovor koji je uskraćen za pristup je ono što su istraživači željeli dobiti jer bi to ukazivalo na ne-javno izlaganje, ali kao što pokazuje izvještaj, oni su završili s potpunim sadržajem baze podataka koji se prečesto vraćao. Zatim su istraživači potražili osjetljive informacije koje su ručno provjeravane zbog lažnih pozitivnih rezultata.
"Svi pristupljeni podaci su uništeni", rekli su istraživači, osiguravajući da je istraživanje "u potpunosti u skladu sa standardima i procedurama bijelog šešira". Da bi se otkrio bilo kakav pristup pisanju bazama podataka, PUT zahtjev je korišten za kreiranje novog čvora i zatim ga brisanje.
Ublažavanje rizika greške u konfiguraciji
Kao i kod svih nepropusnih problema sa bazom podataka koje se mogu pratiti do greške u konfiguraciji, savjet za ublažavanje zvuči prilično jednostavno: ispravno konfigurirajte bazu podataka prvi put. Nažalost, stvari su rijetko tako jednostavne kao što se pojavljuju na prvom mjestu.
Dakle, svakako, savjeti za ublažavanje koji su ponuđeni istraživačima u ovom slučaju primjene odgovarajućih pravila baze podataka i sprečavanja neovlašćenog pristupa pristupu osjetljivim podacima su tačni. Preporuka da programeri aplikacija slijede smernice „Bezbijednost i pravila“ kako su iznijete u Googleovoj Firebase dokumentaciji treba da budu nepromišljeni, ali nije.
To se pokazalo iznova i iznova, pri čemu su mrežne baze podataka svih vrsta pogrešno konfigurisane i vode do toga da izvještaji o podacima procure u javnost. Zaista, ranije ove godine, objavljeno je da je zapanjujućih 82% bezbjednosnih „ranjivosti“ posledica pogrešnih konfiguracija jedne ili druge vrste.
U redu onda to nije problem Google Firebase-a, već problem programere.
Osim činjenice da igranje krivice tu nije naročito korisno, nije ni crno-bijelo. "Svako ko ne misli da IT i razvoj softvera nije iterativni proces, jednostavno ne razumije kako sve to funkcioniše", kaže Ian Thornton-Trump, CISO iz Cijaka, "nije u pitanju greška, već u tome kako se oporavljate od griješite i radite bolje. "
Stručnjak za bezbijednost Džon Opdenakker se slaže i kaže da je ono što je korisno "siguran ciklus razvoja softvera, jer on uključuje sigurnost u proces i kao takav može se planirati toliko potrebno vrijeme za sigurnost".
Ako ćemo nekoga kriviti, ili bolje rečeno, onda vrijeme mora biti ispred i u središtu. Trener za zaštitu aplikacija i ko-vođa škotskog poglavlja „Open Web Application Project“ (OVASP), Sean Vright, u to je siguran. "Jednu stvar koju sam vidio toliko puta je da su mnogi programeri pod stalnim pritiskom da se isporuče", objašnjava Vright, "To u konačnici znači da će oni uzeti najkraći put za isporuku."
To znači da programeri aplikacija nisu tako rijetki da se pozivaju na postojeće primjere implementacije tehnologije, a ne na originalnu dokumentaciju. "Ovo nije problem ako je primjer tačan i siguran", kaže Wright, "ali u mnogim slučajevima to nije slučaj. Programeri moraju da razumeju šta rade, ali s obzirom na vremenske pritiske koji oni su ispod, to često nije ostvarivo. "
Šta Google kaže o riziku podataka o pogrešnoj konfiguraciji Firebase?
Istraživači Comparitech-a obavijestili su Google o nalazima izvještaja 22. aprila i u odgovoru su dobili sledeću izjavu:
"Firebase pruža brojne funkcije koje pomažu našim programerima da bezbijedno konfigurišu svoje razmještanje. Programerima pružamo obavještenja o potencijalnim pogrešnim konfiguracijama u njihovim razmještanjima i nudimo preporuke za njihovo ispravljanje. Obratimo se pogođenim programerima da im pomognu da riješe ove probleme."
Izvor: Forbes