Sekitar 2.200 database Firebase tanpa jaminan telah menyebabkan lebih dari 3.000 aplikasi iOS dan Android bocor data pengguna, mengekspos lebih dari 100 juta catatan termasuk kata sandi plaintext, informasi kesehatan, data lokasi GPS dan banyak lagi, peneliti keamanan mengatakan.
Menurut laporan baru dari perusahaan keamanan aplikasi seluler Appthority , yang disebut Q2 2018 Enterprise Mobile Threat Report , masalah ini disebabkan oleh varian baru dari apa yang dijuluki sebagai “kerentanan HospitalGown.” HospitalGown, dengan nama yang keliru karena berhubungan dengan data “bocor melalui backend data store,” pertama kali ditunjuk oleh Tim Ancaman Seluler Appthority pada tahun 2017.
Sekarang, Appthority melaporkan bahwa masalah terjadi ketika pengembang aplikasi memilih untuk tidak memerlukan otentikasi untuk Google Firebase cloud database, sesuatu yang tidak dilakukan secara default ketika pengembang menggunakan alat pengembangan populer.
Appthority menemukan bahwa dari 1.275 aplikasi iOS yang menggunakan database Firebase, 600 rentan. Secara keseluruhan, lebih dari 3.000 aplikasi membocorkan data dari 2.271 database yang salah konfigurasi. Dan di antara data yang bocor adalah 2,6 juta password teks biasa dan ID pengguna, lebih dari 4 juta catatan Informasi Kesehatan yang Dilindungi, dan 50.000 catatan keuangan.
“Untuk mengamankan data dengan benar, pengembang perlu secara khusus menerapkan otentikasi pengguna pada semua tabel dan baris database, yang jarang terjadi dalam praktek,” tulis Appthority dalam laporan. “Selain itu, dibutuhkan sedikit usaha bagi penyerang untuk menemukan basis data aplikasi Firebase terbuka dan mendapatkan akses ke jutaan catatan aplikasi data seluler pribadi.
Seperti dicatat oleh Bleeping Computer , yang melaporkan temuan minggu lalu , Firebase adalah produk Google yang berisi alat backend untuk membuat aplikasi seluler. Digunakan oleh banyak pengembang Android, beberapa aplikasi iOS juga mengandalkan layanan untuk menyimpan dan menganalisis data. Appthority mengevaluasi 2,7 juta aplikasi iOS dan Android untuk mengidentifikasi 28.502 aplikasi seluler – 27.227 Android dan 1.275 iOS – yang menyimpan data di backend Firebase.
Appthority juga menemukan bahwa ketika penggunaan Firebase semakin besar, jumlah aplikasi yang rentan juga telah meningkat. Pada 2017, dari 53.010 aplikasi yang menggunakan Firebase DB, 4.578 (9 persen), rentan.
Appthority merekomendasikan pengembang untuk melindungi data mereka secara lebih efektif.
“Anda harus melakukan tinjauan keamanan menyeluruh terhadap aplikasi internal yang dikembangkan oleh pihak ketiga, aplikasi yang dikembangkan di dalam perusahaan, dan aplikasi publik yang tersedia untuk produktivitas karyawan,” tulis Appthority dalam laporan tersebut. “Anda mungkin kesulitan mencapai visibilitas ke data yang terpapar oleh ancaman ini di EMM yang menerbitkan aplikasi perusahaan dan publik tanpa solusi MTD otomatis yang berfokus pada ancaman aplikasi dan kerentanan backend, seperti Appthority Mobile Threat Protection.”
Google telah diberi tahu tentang masalah ini dan memberikan daftar aplikasi dan server yang terpengaruh.
Sumber https://indoint.com/
0 comments:
Post a Comment