6月30日消息，據(jù)國外媒體報道，安全研究人員表示，大約2200個不安全的Firebase數(shù)據(jù)庫，導致3000多個iOS和Android應用程序泄露用戶數(shù)據(jù)，泄露了超過1億條記錄，包括文本密碼、健康信息、GPS定位數(shù)據(jù)等。

　　據(jù)移動應用安全公司Appthority發(fā)布的最新報告《2018年第二季度企業(yè)移動威脅報告》稱，該問題由一種被稱為“HospitalGown脆弱性”的新變體引起。HospitalGown由Appthority移動安全小組(Appthority Mobile Threat Team)于2017年確定。

　　Appthority報告說，當應用程序開發(fā)人員選擇不要求Google Firebase云數(shù)據(jù)庫的身份驗證時，問題就出現(xiàn)了。

　　Appthority發(fā)現(xiàn)，使用Firebase數(shù)據(jù)庫的1275個IOS應用程序中，有600個是易受攻擊。總的來說，超過3000個應用程序泄露了2271個配置錯誤的數(shù)據(jù)庫中的數(shù)據(jù)。泄露的數(shù)據(jù)中有260萬個文本密碼和用戶ID，超過400萬個被保護的健康信息記錄，5萬個財務記錄。

　　“為了適當?shù)乇Ｗo數(shù)據(jù)，開發(fā)人員需要在所有數(shù)據(jù)庫表和行上具體實現(xiàn)用戶身份驗證，這在實踐中很少發(fā)生。”Appthority在這份報告中寫道，“此外，攻擊者不需要花費太多的精力就能找到開放的Firebase數(shù)據(jù)庫，并獲得數(shù)百萬的私人移動數(shù)據(jù)應用記錄。”

　　Firebase是谷歌的一款產品，它包含創(chuàng)建移動應用程序的后端工具。許多Android開發(fā)者都在使用它，一些iOS應用程序也依賴該服務來存儲和分析數(shù)據(jù)。Appthority對270萬個iOS和Android應用程序進行了評估，確定2.8502萬個移動應用程序——2.7227萬個Android移動應用程序和1275個IOS移動應用程序——將數(shù)據(jù)存儲在Firebase后端。

　　Appthority還發(fā)現(xiàn)，隨著Firebase使用量的增加，易受攻擊應用的數(shù)量也在增加。2017年，在使用Firebase數(shù)據(jù)庫的5.3010個應用程序中，有4578個(約占9%)是易受攻擊的。

　　Appthority建議，開發(fā)人員要更有效地保護自己的數(shù)據(jù)。

　　“對第三方開發(fā)的內部應用程序、內部開發(fā)的應用程序和為員工可獲得的公共應用程序，你們需要進行徹底的安全檢查，”Appthority在這份報告中寫道，“如果沒有針對應用程序威脅和后端漏洞的自動化MTD解決方案，如Appthority移動威脅保護(Appthority Mobile Threat Protection)，你們可能很難在EMM發(fā)布的企業(yè)和公共應用程序中發(fā)現(xiàn)這種威脅存在。”

　　谷歌已經(jīng)收到了這個問題的通知，并提供了一個受影響的應用程序和服務器的列表。