Duy Linh
Writer
Một phân tích bảo mật toàn diện đã phát hiện lỗ hổng phổ biến trong các ứng dụng di động sử dụng dịch vụ Google Firebase. Hơn 150 ứng dụng nổi tiếng vô tình để lộ dữ liệu nhạy cảm của người dùng do cấu hình sai, với hàng triệu lượt tải xuống trên toàn cầu bị ảnh hưởng.
Nhiều ứng dụng trên nền tảng Firebase của Google làm lộ dữ liệu nhạy cảm
Nghiên cứu trên 1.200 ứng dụng từ chỉ ba danh mục đã cho thấy các lỗ hổng nghiêm trọng trong việc triển khai Firebase. Khoảng 80% ứng dụng di động sử dụng dịch vụ này, trong đó hơn 150 ứng dụng bị phát hiện cho phép truy cập công khai không cần xác thực vào cơ sở dữ liệu thời gian thực, Firestore, kho lưu trữ và cấu hình từ xa.
Các ứng dụng bị lộ không hề nhỏ lẻ: nhiều ứng dụng có từ 100.000 đến hơn 100 triệu lượt tải xuống. Con số này vượt xa sự cố ứng dụng Tea trước đó, vốn chỉ ảnh hưởng đến khoảng 500.000 lượt tải xuống. Ước tính có hơn 4.800 dịch vụ Firebase có nguy cơ bị truy cập trái phép, chứa lượng lớn dữ liệu người dùng nhạy cảm.
Những dữ liệu nhạy cảm bị phơi bày
Các loại thông tin bị rò rỉ rất đa dạng và nghiêm trọng: chi tiết thanh toán, dữ liệu cá nhân, mã định danh duy nhất, tin nhắn riêng tư, mật khẩu dạng văn bản thuần túy, thông tin đăng nhập mã hóa, lời nhắc, truy vấn của người dùng, cùng mã truy cập GitHub và Amazon Web Services có đặc quyền cao.
Nguyên nhân chính đến từ việc nhiều nhà phát triển chọn chế độ thử nghiệm của Firebase Storage, Realtime Database và Firestore, vốn cho phép dữ liệu công khai trong 30 ngày. Thay vì chuyển sang chế độ sản xuất an toàn, nhiều người lại kéo dài thời gian này, khiến dữ liệu tiếp tục bị phơi bày.
Đáng lo ngại, các khóa truy cập AWS và GitHub bị lộ có thể cho phép kiểm soát toàn bộ kho lưu trữ, dẫn đến rủi ro xâm phạm hạ tầng nghiêm trọng.
Để đối phó, các nhà nghiên cứu đã phát triển công cụ OpenFirebase – một trình quét tự động có thể kiểm tra đồng thời Firebase Storage, Realtime Databases, Remote Config và Firestore. Công cụ này giúp phát hiện nhanh các cấu hình sai trên quy mô lớn, thay vì chỉ quét từng dịch vụ riêng lẻ như các công cụ trước.
Phát hiện từ quét thực tế
Firebase Storage: Trong 937 dự án, có 44 thùng lưu trữ mở công khai, một số chứa cả ảnh ID người dùng từ ứng dụng hơn 100 triệu lượt tải xuống.
Cơ sở dữ liệu thời gian thực: 35 cơ sở dữ liệu có thể truy cập công khai, lộ thông tin đăng nhập, trò chuyện và vị trí người dùng.
Cấu hình từ xa: 383 cấu hình công khai, khoảng 30 chứa khóa API và mã xác thực quan trọng.
Firestore: 50 dự án công khai dữ liệu, 24 bộ sưu tập có thể bị truy cập trái phép.
Vấn đề này không chỉ là lỗi kỹ thuật cá biệt mà là thách thức mang tính hệ thống, ảnh hưởng đến toàn bộ hệ sinh thái ứng dụng di động. Với việc Firebase chiếm 80% thị phần, nguy cơ lộ dữ liệu của hàng triệu người dùng đang ở mức đáng báo động. Các tổ chức sử dụng Firebase cần ngay lập tức rà soát cấu hình bảo mật và triển khai biện pháp kiểm soát truy cập chặt chẽ hơn.
Đọc chi tiết tại đây: https://gbhackers.com/googles-firebase-platform/
Nhiều ứng dụng trên nền tảng Firebase của Google làm lộ dữ liệu nhạy cảm
Nghiên cứu trên 1.200 ứng dụng từ chỉ ba danh mục đã cho thấy các lỗ hổng nghiêm trọng trong việc triển khai Firebase. Khoảng 80% ứng dụng di động sử dụng dịch vụ này, trong đó hơn 150 ứng dụng bị phát hiện cho phép truy cập công khai không cần xác thực vào cơ sở dữ liệu thời gian thực, Firestore, kho lưu trữ và cấu hình từ xa.
Các ứng dụng bị lộ không hề nhỏ lẻ: nhiều ứng dụng có từ 100.000 đến hơn 100 triệu lượt tải xuống. Con số này vượt xa sự cố ứng dụng Tea trước đó, vốn chỉ ảnh hưởng đến khoảng 500.000 lượt tải xuống. Ước tính có hơn 4.800 dịch vụ Firebase có nguy cơ bị truy cập trái phép, chứa lượng lớn dữ liệu người dùng nhạy cảm.
Những dữ liệu nhạy cảm bị phơi bày
Các loại thông tin bị rò rỉ rất đa dạng và nghiêm trọng: chi tiết thanh toán, dữ liệu cá nhân, mã định danh duy nhất, tin nhắn riêng tư, mật khẩu dạng văn bản thuần túy, thông tin đăng nhập mã hóa, lời nhắc, truy vấn của người dùng, cùng mã truy cập GitHub và Amazon Web Services có đặc quyền cao.
Nguyên nhân chính đến từ việc nhiều nhà phát triển chọn chế độ thử nghiệm của Firebase Storage, Realtime Database và Firestore, vốn cho phép dữ liệu công khai trong 30 ngày. Thay vì chuyển sang chế độ sản xuất an toàn, nhiều người lại kéo dài thời gian này, khiến dữ liệu tiếp tục bị phơi bày.
Đáng lo ngại, các khóa truy cập AWS và GitHub bị lộ có thể cho phép kiểm soát toàn bộ kho lưu trữ, dẫn đến rủi ro xâm phạm hạ tầng nghiêm trọng.
Để đối phó, các nhà nghiên cứu đã phát triển công cụ OpenFirebase – một trình quét tự động có thể kiểm tra đồng thời Firebase Storage, Realtime Databases, Remote Config và Firestore. Công cụ này giúp phát hiện nhanh các cấu hình sai trên quy mô lớn, thay vì chỉ quét từng dịch vụ riêng lẻ như các công cụ trước.
Phát hiện từ quét thực tế
Firebase Storage: Trong 937 dự án, có 44 thùng lưu trữ mở công khai, một số chứa cả ảnh ID người dùng từ ứng dụng hơn 100 triệu lượt tải xuống.
Cơ sở dữ liệu thời gian thực: 35 cơ sở dữ liệu có thể truy cập công khai, lộ thông tin đăng nhập, trò chuyện và vị trí người dùng.
Cấu hình từ xa: 383 cấu hình công khai, khoảng 30 chứa khóa API và mã xác thực quan trọng.
Firestore: 50 dự án công khai dữ liệu, 24 bộ sưu tập có thể bị truy cập trái phép.
Vấn đề này không chỉ là lỗi kỹ thuật cá biệt mà là thách thức mang tính hệ thống, ảnh hưởng đến toàn bộ hệ sinh thái ứng dụng di động. Với việc Firebase chiếm 80% thị phần, nguy cơ lộ dữ liệu của hàng triệu người dùng đang ở mức đáng báo động. Các tổ chức sử dụng Firebase cần ngay lập tức rà soát cấu hình bảo mật và triển khai biện pháp kiểm soát truy cập chặt chẽ hơn.
Đọc chi tiết tại đây: https://gbhackers.com/googles-firebase-platform/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
