Zeshonderd iOS-apps lekken gegevens via Google Firebase-databases
Firebase databases fout ingesteld
Firebase is een dienst van Google, waarmee ontwikkelaars diensten kunnen aanbieden zoals clouddiensten, pushberichten, analyse, databases, advertenties en diverse andere voorzieningen. Het handige is dat Google het via Firebase kant-en-klaar aanbiedt, zodat de ontwikkelaars het makkelijk in hun eigen projecten kunnen ‘inpluggen’ zonder zelf iets te hoeven ontwikkelen. Google heeft bij de ontwikkeling al rekening gehouden met grote hoeveelheden gebruikers, zware belasting en goede performance. Maar de beveiliging werd daarbij over het hoofd gezien.
Sinds januari 2018 hebben onderzoekers van Appthority meer dan 2,7 miljoen mobiele apps gescand die gebruik maken van Firebase voor het opslaan van gebruikersdata. Daarbij zochten ze gericht naar Firebase-gebaseerde JSON-url’s die direct konden worden benaderd. Kwaadwillenden konden daarbij alle data in een app zien. Het bleek te gaan om 3.046 Android-apps en 600 iOS-apps waarbij de Firebase-database niet goed was geconfigureerd. Daardoor kon iedereen de inhoud bekijken.
Dit leverde een indrukwekkende hoeveelheid data op. In de 113GB aan data zijn 2,6 miljoen gebruikers-ID’s en wachtwoorden in platte tekst te vinden. Ook zijn er 25 miljoen GPS-locatiegegevens, 50.000 financiële gegevens zoals bank- en betalingstransacties, meer dan 4 miljoen medische gegevens over bijvoorbeeld medicijngebruik en meer dan 4,5 miljoen tokens voor Facebook, LinkedIn en dergelijke gevonden.
Appthority heeft geen lijst bekend gemaakt van de apps die in overtreding waren, maar de Android-apps zijn meer dan 620 miljoen keer gedownload, wat wel aangeeft dat er behoorlijk populaire apps tussen zitten. Voor iOS is het lastiger na te gaan hoe vaak een app is gedownload.
Appthority heeft Google op de hoogte gebracht van de lekkage voordat ze hun rapport naar buiten brachten. Ook hebben ze Google geïnformeerd om welke apps het ging. Het beveiligingsbedrijf ontdekt wel vaker ernstige lekken. Zo kwamen ze vorig jaar een lek op het spoor waardoor 1.000 apps meer dan 43 terabyte aan gebruikersdata hadden gelekt via servers die gebruik maakten van MongoDB, Redis, CouchDB, Elasticsearch en MySQL.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Kijk nu de documentaire 'Theft, Death, and Steve Jobs' op YouTube (16-12)
- Deze Chinese autofabrikant maakt meer dan 30 procent van alle iPads - en rukt steeds verder op (02-12)
- Getest: de nieuwe gehoorfuncties op de AirPods Pro (21-10)
- iCulture peilt: wat was jouw favoriete aankondiging van het september-event? (12-09)
- 'Wachtwoorden van Vision Pro-gebruikers waren te achterhalen' (12-09)
Google heeft meerdere apps en diensten die voor Apple-gebruikers interessant zijn. Bekende apps zijn Google Maps, de Google Assistent en Gmail. Bekijk in deze lijst wat Google zoal doet voor mensen met een iPhone, iPad of Mac.
- Alle Google-apps voor iPhone en iPad
- Alles over Google Maps
- Gmail instellen op iPhone en iPad
- Google Home: alles over de slimme speaker van Google
- Haal meer uit Google Foto's
- Haal meer uit Google Drive
- Haal meer uit Google Maps
- Google-account: controleer welke apparaten toegang hebben
- Alles over Google Home en Google Nest
- Google Assistent
- Alternatieven voor Google-diensten
Reacties: 0 reacties