수 천개의 모바일 앱들, 보호 되지 않은 Firebase 데이터베이스 노출 시켜

Thousands of Mobile Apps Expose Their Unprotected Firebase Hosted Databases

모바일 보안 연구원들이 iOS 및 안드로이드 모바일 어플리케이션들의 보호되지 않은 Firebase 데이터베이스들을 발견했습니다. 이는 1억 건이 넘는 데이터 기록을 노출 시키고 있었으며 순수 텍스트 패스워드, 사용자 계정, 위치, 그리고 일부의 경우 뱅킹 및 가상화폐 거래 등 금융 관련 기록까지 포함되어 있었습니다.

구글의 Firebase 서비스는 클라우드 기반 데이터베이스로 데이터를 JSON 포맷으로 저장하며 실시간으로 연결 된 모든 클라이언트와 동기화하는 가장 인기있는 모바일 및 웹 어플리케이션용 백엔드 개발 플랫폼들 중 하나입니다.

연구원들은 많은 앱 개발자들이 백엔드 Firebase 엔드포인트를 방화벽과 인증 등으로 적절히 보호하지 않아, 수백 기가바이트의 고객 정보가 누구나 접근 가능하게 된 것을 발견했습니다.

Firebase는 앱 개발자들에게 아래의 API 서버를 제공해 서비스와 호스팅 되는 데이터베이스에 접근하도록 합니다. 이 때문에, 공격자들은 호스트명의 맨 끝의 빈 데이터베이스 이름에 "/.json"를 추가함으로써 보호 되지 않은 데이터에 접근할 수 있게 됩니다.

샘플 API URL: https://<Firebase project name>.firebaseio.com/<database.json>

접근을 위한 페이로드: Data https://<Firebase project name>.firebaseio.com/.json

연구원들은 이 문제의 범위를 확인하기 위해 270만개 이상의 앱들을 스캔한 결과 3,000개 이상의 앱들 (안드로이드 앱 2,446개, iOS앱 600개)이 1억개 이상의 기록이 포함 된 전체 데이터베이스 2,300개를 유출하고 있는 것으로 나타났습니다. 이로 인해 유출 되는 데이터는 113 기가바이트가 넘습니다.

 <이미지 출처 : https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html>

취약한 안드로이드 앱들은 6.2억회 이상 다운로드 되었습니다.

영향을 받는 앱들은 통신, 가상화폐, 금융, 우편 서비스, 카셰어링 회사, 교육 기관, 호텔, 생산성, 건강, 피트니스, 도구 등 다수의 카테고리에 등록 되어 있었습니다.

연구원들은 취약한 어플리케이션에서 다운로드 해 얻은 데이터의 간략한 분석을 제공했습니다.

일반 텍스트 형태의 패스워드 및 사용자 계정 260만 건

PHI(보호 된 건강 정보) 기록 (채팅 메시지 및 처방 정보) 400만 건 이상

GPS 위치 정보 25만 건 이상

뱅킹, 지불 및 비트코인 거래를 포함한 금융 기록 5만 건 이상

페이스북, 링크드인, Firebase, 기업 데이터가 저장한 사용자 토큰 450만건 이상

연구원들은 이 모든 일이 구글의 Firebase 서비스가 기본적으로 사용자 데이터를 보호하지 않기 때문에, 개발자들이 승인 되지 않은 접근으로부터 데이터베이스를 보호하기 위해 모든 데이터베이스의 행과 테이블에 사용자 인증을 구현해야 하기 때문에 발생한다고 밝혔습니다.

연구원들은 “개발자가 사용할 수 있는 유일한 보안 기능은 인증 및 룰 기반 인증 뿐입니다. 게다가, 암호화를 제공하는 타사의 툴도 없습니다.”라고 설명하면서, 구글에 취약한 앱 데이터베이스 목록을 모두 전달했으며 문제를 패치하는 것을 돕기 위해 일부 앱 제작자들에게도 문제를 제보했다고 밝혔습니다.

출처 : 

https://thehackernews.com/2018/06/mobile-security-firebase-hosting.html