میلیون ها گذرواژه، مکان های GPS، پرونده ها و سوابق مالی بدون هیچ گونه محافظتی به راحتی قابل دسترسی هستند و داده های شخصی شما می توانند جزو این دسته باشند.
محققان در Appthority که یک شرکت امنیت تلفن های همراه می باشد، با اسکن نرم افزار های مبتنی بر اندروید و iOS که از پایگاه های داده Firebase برای ذخیره داده های کاربران خود استفاده می کنند، به نتایج جالبی دست یافته اند. Firebase یک پلتفرم مبتنی بر پردازش ابری برای نرم افزار های موبایل و وب است. این شرکت در سال 2014 توسط گوگل خریداری شد و در چند سال اخیر توانسته تعداد قابل توجهی از توسعه دهندگان نرم افزار اندروید را به جمع کاربرانش اضافه کند.
برای تهیه گزارششان، محققان Appthority چیزی حدود 2.7 میلیون نرم افزار اندروید و iOS را مورد برسی قرار دادند. در این تحقیقات مشخص شد که 27227 نرم افزار مبتنی بر اندروید و 1257 نرم افزار مبتنی بر iOS داده هایشان را بر رو دیتابیس های Firebase ذخیره می کنند. 3046 عدد از این نرم افزار ها داده هایشان را بر روی 2271 دیتابیس ناامن ذخیره می کنند که اطلاعاتشان به راحتی برای هر شخصی قابل دسترسی است! از میان نرم افزار های که داده هایشان به راحتی قابل دسترسی هستند، 2446 مبتنی بر اندروید و 600 تای دیگر مبتنی بر iOS هستند.
پس دقیقا چه اطلاعاتی در دسترس تمامی افراد کره زمین قرا گرفته است؟ داده های نشت شده از تمام این نرم افزار های ناامن شامل 2.6 میلیون شناسه کابری و رمز عبور 25 میلیون مکان های ذخیره شده GPS، سوابق پنجاه هزار نقل و انتقال مالی داخل نرم افزار و بیش از 4.5 میلیون رمز کاربران شبکه های اجتماعی می باشد. اطلاعات نشت شده دیگر شامل 4 میلیون از سوابق چت های خصوصی و سوابق درمانی افراد می باشد.
در کل بیش از 100 میلیون از مجموعه داده های افراد که حجمشان به 113 گیگابایت می رسد، در این نشت در دسترس قرار گرفته اند. نرم افزار های مسئول این اتفاق بیش از 620 میلیون بار از google play دانلود شده اند.
در واقعیت دسترسی به این اطلاعات چه قدر ساده است؟ با توجه به این گزارش دیتا بیس های مورد بحث از هیچ گونه فایروال یا سیستم احراز هویت استفاده نمی کنند. برای یک هکر کافیست تا تنها یک “/.json” به همراه یک اسم دیتابیس خالی را به انتهای اسم هاست اضافه کند. برای مثال: (“https://appname.firebaseio.com/.json”)
محققان خاطر نشان کردند که قبل از انتشار این گزارش با گوگل تماس گرفتند. آنها می گویند لیست تمام برنامه های خطرناک را به گوگل ارائه کرده اند و همچنین با توسعه دهندگان برنامه های مورد اشاره تماس برقرار کرده اند. با این که لیست برنامه های آسیب پذیر منتشر نشده است، آنها شامل برنامه هایی در دسته های مختلف از پیام رسان و امور مالی تا سلامتی و مسافرت می باشند. شرکت ها یا سازندگان پشت این برنامه های خطرناک در سراسر جهان پراکنده هستند.