错误配置实时数据库
时间:2022-04-22 00:15:01 | 来源:行业动态
时间:2022-04-22 00:15:01 来源:行业动态
实时数据库支持应用开发人员将数据存储在云端,从而实现数据与每个联网客户端的实时同步。该服务不仅解决了应用开发中的一个常见问题,而且还可确保数据库适用于所有客户端平台。但是,如果应用开发人员没有为实时数据库配置身份验证等简单的基本特性,将会发生什么呢?
这种实时数据库配置错误问题由来已久,并且仍然非常普遍,受此问题影响的用户多达数百万。为此,CPR 研究人员尝试访问了数据,结果发现,实时数据库没有采取任何措施来阻止该未经授权的访问。
在调查开源数据库的内容时,CheckPoint安全顾问从中获得了很多敏感信息,包括电子邮件地址、密码、私人聊天、设备位置、用户标识符等。如果攻击者获得了该数据,可能会进行服务刷卡(即尝试在其他服务上使用相同的用户名和密码组合)、欺诈和/或身份盗用。
图 1 Google Play 上采用开源实时数据库的部分应用图 2 Logo Maker上用户的电子邮件、密码、用户名和 IDCPR 研究人员发现,下载量超过 1,000 万的热门星座、星象和手相应用 Astro Guru 也出现了这种配置错误。用户输入个人信息(例如姓名、出生日期、性别、位置、电子邮件和付款明细)后,Astro Guru 将为他们生成一份个人星座和星象预测报告。这种星象预测竟然暴露了敏感数据,简直令人咋舌!
抛却个人信息不说,泄露实时数据更令人无语,这可是实时数据库原本存在的意义啊!在下载量超过 5 万的出租车应用 T'Leva 上,CPR 研究人员成功访问了司机与乘客之间的聊天消息,并检索到了用户的姓名、电话号码和位置(目的地和上车地点),所有信息只需通过向数据库发送一个请求即可获得。