Firebase Veritabanındaki Sorun 4 Binden Fazla Android Uygulamasını Etkiliyor

Google’ın bulut teknolojisini kullanan Firebase veri tabanındaki hatadan dolayı 4 binden fazla Android uygulamasının kullanıcılar hakkında hassas bilgiler sızdırdığı ortaya çıktı. Firebase kullanan uygulamaların sızdırdığı bilgiler arasında e-posta adresleri, kullanıcı isimleri, parolalar, telefon numaraları, tüm isimler, sohbet ekranları ve konum bilgileri yer alıyor.

Firebase odaklı sorunu ortaya çıkaran analiz, 15 bin 735 Android uygulaması üzerinde gerçekleştirildi. Söz konusu sayı, aynı zamanda Google Play Store’daki uygulamaların yüzde 18’ine tekabül ediyor.

Araştırmacılar, kullanıcı verilerini depolamak için Google Firebase kullanan mobil uygulamaların yüzde 4,8‘inin iyi korunmadığını kaydediyor. Güvenlik zafiyeti, kullanıcıların şahsi ve erişim bilgileri ile diğer verilerini içeren veri tabanına parola veya doğrulama olmadan sızılmasına neden oluyor.

Google tarafından 2014 yılında satın alınan Firebase, geliştiricilere sunduğu araçlar ile uygulama üretilmesine imkân verdiği gibi veri ve dosyaların depolanmasını da sağlıyor. Ek olarak uygulamalara dair sorunların çözülmesi ve mesaj içerikleri ile geliştiricilere kılavuzluk gibi hizmetler sunuyor.

Öte yandan Firebase’in çoklu-platformlar arasında kullanılabilmesi, zafiyetin iOS cihazlarını da etkileyebileceği anlamına geliyor. 4 bin 282 uygulama geneline yayılan veri tabanındaki bilgiler işe şu şekilde:

– E-posta adresleri: 7 milyondan fazla,

– Kullanıcı adları: 4.4 milyondan fazla,

– Şifre: 1 milyondan fazla,

– Telefon numarası: 5,3 milyondan fazla,

– Tüm isimler: 18,3 milyon,

– Sohbet mesajları: 6,8 milyon,

– GPS verisi: 6,2 milyon,

– IP adresi: 156 bin,

– Sokak adresi: 560 bin.

Güvenlik araştırmacıları, Firebase zafiyetini hizmetin kullandığı REST API (uygulama programlama arayüzü) üzerinden keşfetti. Toplamda 155 bin 66 uygulamanın verilerine internetten ulaşılabildiği, 9 bin 14 uygulamanın ise siber korsanlara kötü amaçlı yazılım yüklemek ve veri tabanına müdahale etmek için güvenlik açığı sunduğu tespit edildi.

Google, 22 Nisan’da bildirilen güvenlik açığının ardından tüm geliştiriciler ile temasa geçtiklerini ve gerekli yamaların hazırlandığını duyurdu.

Firebase’de tespit edilen ilk zafiyet değil 

İki yıl önce de Firebase tabanlı bir güvenlik açığı bulmuş ve 100 milyon veri parçasının korunmadığını tespit edilmişti.

Veri tabanlarının şifre veya doğrulama gerektirmeden erişime açık bırakılması, siber korsanlar için açık davet anlamına geliyor. Araştırmacılar, uygulama geliştiricilerin Firebase veri tabanı kurallarını gözden geçirerek erişim ihlallerini denetlemelerini tavsiye ediyor. Kullanıcıların da sadece güvenilirliği doğrulanmış uygulamalar kullanması ve kendilerine sunulan bilgilere şüphe ile yaklaşmaları istendi.