「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認 | ScanNetSecurity
2021.09.27(月)

「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認

Avast Softwareは9月1日、Googleのモバイル及びWebアプリ開発プラットフォームである「Firebase」についての調査結果を同社ブログで発表した。同社では2021年7月末に、オープンなFirebaseの実証調査を行っている。

調査・レポート・白書 調査・ホワイトペーパー
 Avast Softwareは9月1日、Googleのモバイル及びWebアプリ開発プラットフォームである「Firebase」についての調査結果を同社ブログで発表した。同社では2021年7月末に、オープンなFirebaseの実証調査を行っている。

 調査によると、同社のシステムにある約18万300件のFirebaseアドレスについて、そのうち約1万9,300件(10.7%)のFirebase DBがアプリ開発者の誤った設定により、認証されていないユーザーにデータを公開していることが判明した。これらのアドレスは、主にAndroidアプリから静的及び動的に抽出している。

 同社ではこれらのFirebaseアドレスを取得し、どれだけのアドレスがオープンになっているかをクレデンシャルなしで「読み取り」アクセスが可能な例のみを調査した。これらのオープンなFirebaseによって開発されたアプリが保存・使用するデータを盗難の危険にさらすことになる。アプリは様々な情報を保存し使用することができ、その中には名前や生年月日、住所、電話番号、位置情報、サービストークン、鍵などの個人を特定できる情報(PII)が含まれているが、開発者が悪質な行為を行うとDBに平文のパスワードが含まれることもあり、Firebaseを使ったアプリのユーザーの10%以上の個人情報が危険にさらされる可能性があると指摘している。

 同社では今回の結果をGoogleに報告し、オープンになっていると特定されたアプリの開発者に通知するよう依頼するとともに、一部の開発者には同社が連絡を行った。

 同社では最後に「ユーザーのデータを保護し、デジタル社会をより安全なものにするために、すべての開発者がデータベースやその他のストレージに設定ミスがないかどうかを確認すること」が最も重要と締めている。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×