Hơn 4000 ứng dụng Android làm lộ thông tin người dùng

Các thông tin này bao gồm địa chỉ email, tên người dùng, mật khẩu, số điện thoại, họ tên đầy đủ, những cuộc trò chuyện qua tin nhắn và dữ liệu định vị.

Sự việc này được phát hiện bởi một cuộc điều tra do Bob Diachenko (thuộc Security Discovery) phối hợp với công ty khảo sát công nghệ Comparitech thực hiện trên 15.735 ứng dụng Android, chiếm 18% số ứng dụng trên kho lưu trữ của Google Play.

Comparitech cho biết: "4,8% các ứng dụng di động đang sử dụng Firebase của Google để lưu trữ dữ liệu người dùng mà không được bảo mật đúng cách, cho phép bất kỳ ai cũng có thể truy nhập cơ sở dữ liệu chứa thông tin cá nhân của người dùng, các mã thông báo truy nhập và dữ liệu khác mà không cần mật khẩu hay bất kỳ xác thực nào khác".  

Được Google mua lại vào năm 2014, Firebase là một nền tảng phát triển ứng dụng di động phổ biến cung cấp các công cụ đa dạng giúp các nhà phát triển ứng dụng bên thứ 3 phát triển xây dựng ứng dụng, lưu trữ dữ liệu và tệp tin một cách an toàn, xử lý các sự cố, thậm chí tương tác với người dùng qua các tính năng gửi tin nhắn trong ứng dụng.

Với các ứng dụng dễ bị tấn công - chủ yếu là các trò chơi, giáo dục, giải trí và các các ứng dụng công việc - được người dùng Adroid cài đặt 4,22 tỷ lần, Comparitech cho biết: "Các cơ hội xâm phạm là khá cao khi quyền riêng tư của một người dùng Android đã bị xâm phạm bởi ít nhất một ứng dụng".

Dù Firebase là một công cụ đa nền tảng, các nhà nghiên cứu cũng cảnh báo rằng việc cấu hình sai cũng có khả năng ảnh hưởng tới iOS và các ứng dụng web.

Cơ sở dữ liệu của 4.282 ứng dụng bị ảnh hưởng bao gồm: Địa chỉ email (hơn 7 triệu); Tên người dùng (hơn 4,4 triệu); Mật khẩu (hơn 1 triệu); Số điện thoại (hơn 5,3 triệu); Họ tên đầy đủ (hơn 18,3 triệu); tin nhắn (hơn 6,8 triệu); Thông tin về vị trí (GPS) (hơn 6,2 triệu); Địa chỉ IP (hơn 156.000); Địa chỉ lưu trú (hơn 560.000).

Bob Diachenko đã phát hiện các cơ sở dữ liệu bị rò rỉ sử dụng APT REST của Firebase để truy nhập dữ liệu lưu trữ trong những trường hợp không được bảo vệ, được truy xuất dưới định dạng JSON bằng cách thêm phần đuôi là  "/.json" tới cơ sở dữ liệu URL (ví dụ như e.g. "https://~project_id~.firebaseio.com/.json").

Ngoài 155.066 ứng dụng có cơ sở dữ liệu được công khai, các nhà nghiên cứu đã tìm thấy 9.014 ứng dụng cho phép ghi có thể giúp tin tặc cấy dữ liệu độc hại và xâm phạm cơ sở dữ liệu, thậm chí là phát tán phần mềm độc hại. 

Vấn đề phức tạp hơn nữa là việc lập chỉ mục các URL cơ sở dữ liệu Firebase đối với những công cụ tìm kiếm như Bing để lộ các điểm cuối có chứa lỗ hổng cho bất cứ ai trên Internet.

Sau khi được thông báo về những phát hiện này vào ngày 22/4, gã khổng lồ Google cho biết sẽ liên hệ với các nhà phát triển bị ảnh hưởng để xử lý vấn đề.

Đây không phải lần đầu tiên cơ sở dữ liệu Firebase bị  rò rỉ thông tin cá nhân. Các nhà nghiên cứu từ công ty bảo mật di động Appthority đã phát hiện một trường hợp tương tự từ 2 năm trước dẫn đến việc lộ lọt 100 triệu hồ sơ dữ liệu. Do đó, các nhà phát triển ứng dụng nên tuân thủ các quy tắc cơ sở dữ liệu của Firebase để đảm bảo an toàn dữ liệu và ngăn chặn truy nhập trái phép.

Về phần mình, người dùng được khuyến khích sử dụng các ứng dụng tin cậy và thận trọng khi chia sẻ thông tin với một ứng dụng.