「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認

Avast Softwareは9月1日、Googleのモバイル及びWebアプリ開発プラットフォームである「Firebase」についての調査結果を同社ブログで発表した。同社では2021年7月末に、オープンなFirebaseの実証調査を行っている。

調査・レポート・白書・ガイドライン

2021.9.15 Wed 8:05

　Avast Softwareは9月1日、Googleのモバイル及びWebアプリ開発プラットフォームである「Firebase」についての調査結果を同社ブログで発表した。同社では2021年7月末に、オープンなFirebaseの実証調査を行っている。

　調査によると、同社のシステムにある約18万300件のFirebaseアドレスについて、そのうち約1万9,300件（10.7%）のFirebase DBがアプリ開発者の誤った設定により、認証されていないユーザーにデータを公開していることが判明した。これらのアドレスは、主にAndroidアプリから静的及び動的に抽出している。

　同社ではこれらのFirebaseアドレスを取得し、どれだけのアドレスがオープンになっているかをクレデンシャルなしで「読み取り」アクセスが可能な例のみを調査した。これらのオープンなFirebaseによって開発されたアプリが保存・使用するデータを盗難の危険にさらすことになる。アプリは様々な情報を保存し使用することができ、その中には名前や生年月日、住所、電話番号、位置情報、サービストークン、鍵などの個人を特定できる情報（PII）が含まれているが、開発者が悪質な行為を行うとDBに平文のパスワードが含まれることもあり、Firebaseを使ったアプリのユーザーの10％以上の個人情報が危険にさらされる可能性があると指摘している。

　同社では今回の結果をGoogleに報告し、オープンになっていると特定されたアプリの開発者に通知するよう依頼するとともに、一部の開発者には同社が連絡を行った。

　同社では最後に「ユーザーのデータを保護し、デジタル社会をより安全なものにするために、すべての開発者がデータベースやその他のストレージに設定ミスがないかどうかを確認すること」が最も重要と締めている。