Beveiligingsonderzoekers hebben een kwetsbaarheid gevonden in de manier waarop Firebase-databases zijn geconfigureerd in naar schatting 24.000 Android-apps. Daardoor laten die apps gebruikersdata uitlekken.

Het lek zit in de veelgebruikte sdk Firebase. Die wordt gebruikt om onder andere NoSQL-databases en databasemanagers te gebruiken in Android-, iOS en C++-apps. De onderzoekers van beveiligingsbedrijf Comparitech zeggen dat de tool in bijna een derde van alle Android-apps voorkomt. Bij een deel van die gebruikers staat de configuratie verkeerd, waardoor data uit te lezen is.

Comparitech bekeek 515.735 apps in de Play Store die Firebase gebruiken. 4282 daarvan lieten gebruikersdata uitlekken. Het bedrijf extrapoleert dat dit betekent dat in totaal zo'n 24.000 Android-apps informatie zouden laten uitlekken, al is dat exacte aantal niet te bevestigen. Het is niet duidelijk of het lek ook op iOS of andere platforms uit te buiten is.

De databases laten onder andere e-mailadressen, telefoonnummers, gps-data en ip-adressen uitlekken, maar ook gebruikersnamen en wachtwoorden. Comparitech laat in een screenshot zien hoe die wachtwoorden in plaintext te achterhalen zijn. Uit de onderzochte apps wisten de onderzoekers zeven miljoen e-mailadressen, 4,4 miljoen gebruikersnamen en een miljoen wachtwoorden te achterhalen.

Het gaat niet om een kwetsbaarheid, maar om een verkeerde configuratie die door appbouwers zelf kan worden voorkomen. Dat kan door simpelweg .json toe te voegen aan een Firebase-url. Dat werkt alleen voor openbare databases. Die urls zijn te vinden via verschillende zoekmachines. Google heeft dergelijke links eind vorig jaar uit zijn zoekresultaten gehaald, maar op Bing zijn ze nog te vinden.

Comparitech raadt databasebeheerders aan om goede regels in de software te implementeren door ze niet openbaar beschikbaar te maken, en om wachtwoorden niet in plaintext op te slaan.

Bron: Tweakers.net