상세 컨텐츠

본문 제목

잘못 구성된 Firebase 데이터베이스, 안드로이드 앱 4,000개 이상 사용자 데이터 유출시켜

국내외 보안동향

by 알약(Alyac) 2020. 5. 13. 09:52

본문

Over 4000 Android Apps Expose Users' Data via Misconfigured Firebase Databases


구글의 클라우드 호스팅 Firebase 데이터베이스를 사용하는 안드로이드 앱 4천 개 이상에서 의도치 않게 사용자의 민감 정보를 유출하고 있는 것으로 나타났습니다. 


유출된 정보는 이메일 주소, 계정명, 패스워드, 전화번호, 성명, 채팅 메시지, 위치 정보 등입니다.


Security Discovery의 Bob Diachenko가 Comparitech의 파트너십을 통한 조사를 실시하여 구글 플레이스토어에 등록된 모든 앱의 약 18%인 안드로이드 앱 15,735개를 분석했습니다.


구글 Firebase를 사용하여 데이터를 저장하는 모바일 앱의 4.8%가 제대로 보호되고 있지 않아 사용자의 개인정보, 접근 토큰 및 기타 데이터가 패스워드나 인증 없이도 누구나 접근 가능한 상태였습니다.


2014년 구글이 인수한 Firebase는 서드파티 앱 개발자가 앱을 개발하고, 안전하게 앱 데이터와 파일을 보관하고, 문제를 해결하고, 인앱 메시징 기능을 통해 사용자와 교류할 수 있도록 다양한 툴을 제공하는 인기 있는 모바일 애플리케이션 개발 플랫폼입니다.


Comparitech는 문제의 앱이 대부분 게임, 교육, 엔터테인먼트, 비즈니스 카테고리에 속했으며 42.2억 회 설치되었다고 밝혔습니다.


이 앱들 중 최소 하나를 통해 안드로이드 사용자의 개인정보가 침해되었을 가능성이 매우 높습니다.


Firebase는 크로스 플랫폼 툴이기 때문에, 연구원들은 이 잘못된 구성으로 인해 iOS 웹앱에도 영향을 미칠 수 있다고 경고했습니다.


해당 데이터베이스의 전체 내용은 아래와 같습니다.



• 이메일 주소: 7,000,000+

• 사용자 이름: 4,400,000+

• 비밀번호: 1,000,000+

• 전화번호: 5,300,000+

• 이름: 18,300,000+

• 채팅 메시지: 6,800,000+

• GPS 데이터: 6,200,000+

• IP 주소: 156,000+

• 주소: 560,000+



Diachenko는 알려진 Firebase의 REST API를 통해 데이터베이스가 노출되고 있는 것을 발견했습니다. 


이 API를 사용하여 데이터베이스 URL의 끝에 단순히 "/.json"을 붙이는 것만으로 보호되지 않은 인스턴스 내 저장된 데이터에 접근할 수 있었습니다.(예: https://~project_id~.firebaseio.com/.json)



<이미지 출처: https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/>



연구원들은 데이터베이스가 공개적으로 노출되어 있는 앱 155,066개 외에도 공격자가 악성 데이터를 주입하여 데이터베이스를 해킹하거나 악성코드를 배포하는데 악용할 수 있는 쓰기 권한이 노출된 앱 9,014개를 발견했습니다.


문제를 더욱 복잡하게 만드는 요인은 Bing과 같은 검색 엔진이 Firebase 데이터베이스 URL을 인덱싱한다는 것입니다. 


이로써 누구나 취약한 엔드포인트에 접근할 수 있도록 노출되는 결과가 발생합니다. 하지만 구글 검색은 어떠한 검색 결과도 반환하지 않았습니다.


구글은 지난 4월 22일 이 문제에 대해 제보받아 문제 해결을 위해 영향을 받은 개발자에게 연락을 취하고 있다고 밝혔습니다.


노출된 Firebase 데이터베이스에서 개인정보가 유출된 것은 이번이 처음은 아닙니다. 


모바일 보안 회사인 Appthority는 2년 전 1억 데이터 기록을 노출시킨 유사한 사고를 발견한 적이 있습니다.


인증 없이 데이터베이스를 노출된 채 방치하는 것은 공격자에게 초대장을 보내는 것이나 다름없습니다. 


앱 개발자는 Firebase 데이터베이스 규칙을 준수하여 데이터를 보호하고 무단 접근을 예방해야 합니다.


사용자는 신뢰할 수 있는 앱만 사용하고 애플리케이션에 정보를 공유하기 전 주의를 기울이는 것이 좋습니다.





출처:

https://thehackernews.com/2020/05/android-firebase-database-security.html

https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/

관련글 더보기

댓글 영역