Dẫn thông tin từ Security Week, Diễn đàn An ninh mạng Việt Nam – WhiteHat.vn cho biết, hàng ngàn ứng dụng di động chạy trên iOS và Android vừa bị lộ lọt hơn 113 gigabyte dữ liệu từ 2.300 cơ sở dữ liệu Firebase, nền tảng phát triển ứng dụng di động và web, theo báo cáo của Appthority.
Nghiên cứu mới này được thực hiện tiếp theo báo cáo năm ngoái về vectơ tấn công HospitalGown, cho thấy hơn 1.000 ứng dụng di động trên các thiết bị doanh nghiệp bị lộ dữ liệu nhạy cảm thông qua kết nối không an toàn với máy chủ đầu cuối.
Tương tự như lỗ hổng HospitalGown, được tìm thấy trong kiến trúc và cơ sở hạ tầng của ứng dụng di động, lỗ hổng an ninh tồn tại do các nhà phát triển ứng dụng không yêu cầu xác thực khi truy cập cơ sở dữ liệu đám mây Google Firebase.
Theo các chuyên gia an ninh mạng, là một trong những công nghệ cơ sở dữ liệu đầu cuối phổ biến nhất cho các ứng dụng di động nhưng Firebase không đảm bảo an toàn dữ liệu người dùng. Firebase không cảnh báo các nhà phát triển khi dữ liệu gặp nguy hiểm và cũng không cung cấp các công cụ mã hóa của bên thứ ba.
Để đảm bảo dữ liệu được an toàn, các nhà phát triển ứng dụng cần triển khai bước xác thực người dùng trên tất cả các bảng và hàng cơ sở dữ liệu, nhưng điều đó hiếm khi xảy ra, Appthority giải thích trong báo cáo. Do đó, kẻ tấn công có thể dễ dàng phát hiện cơ sở dữ liệu ứng dụng Firebase mở và truy cập các bản ghi riêng tư.
Vấn đề an ninh mà Appthority đề cập đến là lỗ hổng Firebase, có ảnh hưởng rất nghiêm trọng, rò rỉ 100 triệu bản ghi (113 gigabyte) dữ liệu từ cơ sở dữ liệu Firebase không an toàn.
Hơn 28 ngàn ứng dụng di động không an toàn
Sau khi ‘đào bới’ hàng triệu ứng dụng, các nhà nghiên cứu an ninh phát hiện 28.502 ứng dụng di động (27.227 Android và 1.275 ứng dụng iOS) được kết nối với cơ sở dữ liệu Firebase, 3.046 trong số đó (10.69%) bị phát hiện có lỗ hổng (2.446 ứng dụng Android và 600 iOS).
Trong số 3.000 ứng dụng dễ bị tấn công, Appthority đã tiết lộ hơn 100 triệu hồ sơ dữ liệu từ 2.300 cơ sở dữ liệu có lỗ hổng (1 trong 10 cơ sở dữ liệu Firebase, hay 10,34%). Chỉ riêng trên Android, các ứng dụng dễ bị tấn công đã có hơn 620 triệu lượt tải xuống.
Các ứng dụng bị ảnh hưởng thuộc nhiều danh mục, bao gồm các công cụ, năng suất, sức khỏe và thể dục, truyền thông, tài chính và các ứng dụng kinh doanh, và có ảnh hưởng đến 62% doanh nghiệp.
Các tổ chức bị ảnh hưởng bao gồm ngân hàng, viễn thông, dịch vụ bưu chính, công ty chia sẻ chuyến đi, khách sạn và tổ chức giáo dục ở Hoa Kỳ, Châu Âu, Argentina, Braxin, Singapore, Đài Loan, New Zealand, Ấn Độ và Trung Quốc.
Phân tích các dữ liệu bị lộ cho thấy 2,6 triệu mật khẩu văn bản thuần túy và ID người dùng; hơn 4 triệu bản ghi Thông tin Y tế được Bảo vệ (bao gồm tin nhắn trò chuyện và chi tiết đơn thuốc); 25 triệu bản ghi vị trí GPS; 50 nghìn hồ sơ tài chính bao gồm giao dịch ngân hàng, thanh toán và giao dịch Bitcoin; và hơn 4.5 triệu token người dùng Facebook, LinkedIn, Firebase và lưu trữ dữ liệu doanh nghiệp.
Báo cáo cho thấy 975 (40%) các ứng dụng có lỗi có liên quan đến kinh doanh, được cài đặt trong môi trường khách hàng hoạt động, rò rỉ khóa riêng tư và thông tin truy cập của công ty (có khả năng cho phép kẻ tấn công xâm nhập tài sản trí tuệ nhạy cảm), trao đổi kinh doanh riêng tư và thông tin bán hàng.
Số lượng ứng dụng kết nối với cơ sở dữ liệu Firebase đã tăng lên đáng kể kể từ năm 2015 và do đó số lượng ứng dụng dễ bị tấn công cũng tăng lên. Từ năm 2015 đến năm 2016, các ứng dụng sử dụng Firebase tăng 2,112%, trong khi các ứng dụng có lỗ hổng đã tăng 1,225%. Từ năm 2016 đến năm 2017, tốc độ tăng trưởng lần lượt là 271% và 74%.
“Lỗ hổng Firebase là một lỗ hổng di động nghiêm trọng, lộ lọt một lượng lớn dữ liệu nhạy cảm. Số lượng lớn các ứng dụng có lỗi và nhiều loại dữ liệu cho thấy các doanh nghiệp không thể dựa vào các nhà phát triển ứng dụng di động, scan kho ứng dụng hoặc mã độc đơn giản để giải quyết vấn đề an ninh dữ liệu”, Seth Hardy, Giám đốc nghiên cứu an ninh Appthority nhận xét.
Các chuyên gia an ninh mạng của Bkav nhận định lỗ hổng của Firebase rất nghiêm trọng, ảnh hưởng tới nhiều loại dịch vụ phần mềm như: sức khỏe, truyền thông, thông tin, tài chính doanh nghiệp... Các nhà phát triển phần mềm được khuyến cáo cần đặc biệt để tâm tới lỗ hổng Firebase, kiểm tra ứng dụng của mình xem có tồn tại lỗi hay không. Nếu có, cần áp dụng những biện pháp phù hợp.