Zeshonderd iOS-apps lekken gegevens via Google Firebase-databases

Duizenden apps blijken vertrouwelijke gegevens te lekken via een fout ingestelde Firebase-database van Google. Daardoor is 113GB aan persoonlijke data uitgelekt. Het probleem treft vooral Android-apps, maar er zijn ook 600 iOS-apps gevonden die gegevens lekten.

Firebase databases fout ingesteld

Firebase is een dienst van Google, waarmee ontwikkelaars diensten kunnen aanbieden zoals clouddiensten, pushberichten, analyse, databases, advertenties en diverse andere voorzieningen. Het handige is dat Google het via Firebase kant-en-klaar aanbiedt, zodat de ontwikkelaars het makkelijk in hun eigen projecten kunnen ‘inpluggen’ zonder zelf iets te hoeven ontwikkelen. Google heeft bij de ontwikkeling al rekening gehouden met grote hoeveelheden gebruikers, zware belasting en goede performance. Maar de beveiliging werd daarbij over het hoofd gezien.


Sinds januari 2018 hebben onderzoekers van Appthority meer dan 2,7 miljoen mobiele apps gescand die gebruik maken van Firebase voor het opslaan van gebruikersdata. Daarbij zochten ze gericht naar Firebase-gebaseerde JSON-url’s die direct konden worden benaderd. Kwaadwillenden konden daarbij alle data in een app zien. Het bleek te gaan om 3.046 Android-apps en 600 iOS-apps waarbij de Firebase-database niet goed was geconfigureerd. Daardoor kon iedereen de inhoud bekijken.

Firebase lek iOS-apps

Dit leverde een indrukwekkende hoeveelheid data op. In de 113GB aan data zijn 2,6 miljoen gebruikers-ID’s en wachtwoorden in platte tekst te vinden. Ook zijn er 25 miljoen GPS-locatiegegevens, 50.000 financiële gegevens zoals bank- en betalingstransacties, meer dan 4 miljoen medische gegevens over bijvoorbeeld medicijngebruik en meer dan 4,5 miljoen tokens voor Facebook, LinkedIn en dergelijke gevonden.

Appthority heeft geen lijst bekend gemaakt van de apps die in overtreding waren, maar de Android-apps zijn meer dan 620 miljoen keer gedownload, wat wel aangeeft dat er behoorlijk populaire apps tussen zitten. Voor iOS is het lastiger na te gaan hoe vaak een app is gedownload.

Google Firebase

Appthority heeft Google op de hoogte gebracht van de lekkage voordat ze hun rapport naar buiten brachten. Ook hebben ze Google geïnformeerd om welke apps het ging. Het beveiligingsbedrijf ontdekt wel vaker ernstige lekken. Zo kwamen ze vorig jaar een lek op het spoor waardoor 1.000 apps meer dan 43 terabyte aan gebruikersdata hadden gelekt via servers die gebruik maakten van MongoDB, Redis, CouchDB, Elasticsearch en MySQL.

Reacties: 0 reacties

Reacties zijn gesloten voor dit artikel.