Firebase là nền tảng phát triển ứng dụng di động thuộc sở hữu của Google, ước tính 30% các ứng dụng trên Google Play đang sử dụng Firebase.
Trong số này có 4,8% ứng dụng không được cấu hình và bảo mật đúng cách, đồng nghĩa với việc tội phạm mạng có thể thu thập dữ liệu người dùng, bao gồm cả những thông tin cá nhân quan trọng.
Theo báo cáo của các nhà nghiên cứu, có khoảng 4.282 ứng dụng làm rò rỉ dữ liệu người dùng (trong đó 40% là các ứng dụng giáo dục và trò chơi).
Việc cấu hình sai có thể cho phép tội phạm mạng thu thập địa chỉ email, tên người dùng, mật khẩu, số điện thoại, dữ liệu GPS... và rất nhiều thứ khác mà không cần phải xác thực.
Nhiều ứng dụng cấu hình sai làm rò rỉ dữ liệu người dùng. Ảnh minh họa
Bất cứ ai cũng có thể truy cập cơ sở dữ liệu này bằng cách thêm “.json” vào cuối URL Firebase. Mặc dù Google đã xóa cơ sở dữ liệu khỏi kết quả tìm kiếm nhưng chúng vẫn được các công cụ tìm kiếm khác lập chỉ mục.
Ngay cả các nhà phát triển ứng dụng trên những nền tảng khác cũng sử dụng Firebase, do đó số lượng các ứng dụng bị ảnh hưởng trong việc cấu hình sai cơ sở dữ liệu sẽ khoảng 24.000 ứng dụng.
Các nhà nghiên cứu cũng phát hiện ra rằng người dùng smartphone trung bình cài đặt 60-90 ứng dụng. Rất có khả năng ít nhất một trong các ứng dụng này đang làm rò rỉ dữ liệu nhạy cảm của người dùng.
Báo cáo này đã được cung cấp cho Google vào ngày 22-4. “Chúng tôi đang liên hệ với với các nhà phát triển bị ảnh hưởng để hỗ trợ họ giải quyết vấn đề” - người phát ngôn của Google cho biết.
Đây là lý do tại sao chúng ta không nên sử dụng cùng một mật khẩu cho nhiều trang web hoặc ứng dụng. Nếu dữ liệu bị lộ, kẻ gian có thể sử dụng mật khẩu này để truy cập vào nhiều tài khoản khác nhau.
