Comparitech安全研究人员发现，数千个通过谷歌发布的Android应用程序由于Firebase的错误配置而泄漏敏感信息。

Firebase于2011年推出，是谷歌在2014年收购的一个移动应用开发平台。它可以用于身份验证、托管、云存储、分析、消息传递等。

据统计，Google Play中大约30%的应用程序使用Google Firebase存储用户数据，但其中许多应用程序的安全性不高。总的来说，4.8%使用Firebase的移动应用程序被认为泄露了个人信息、访问令牌和其他类型的数据。

Comparitech的研究人员在谷歌Play中查看了515735个Android应用程序后，发现了4282个泄露敏感信息的应用程序。

“如果我们推断这些数字，估计谷歌Play上所有Android应用程序中有0.83%通过Firebase泄露敏感数据。研究人员指出，总共大约有24000个应用程序。

已识别的易受攻击应用程序的下载总数超过42.2亿。然而，这些数据只包括Google Play的下载量，而不包括第三方应用程序市场。

通过这些错误配置暴露的数据包括电子邮件地址（Comparitech识别超过7000000）、用户名（超过4400000）、密码（超过1000000）、电话号码（超过5300000）、全名（超过18300000）、聊天信息（6800000+）、GPS数据（6200000+）、IP地址（156000+），街道地址（560000+）等等。

研究人员还说，信用卡号码和政府发放的身份证照片也被曝光。

“在分析的155066个Firebase应用程序中，11730个公开了数据库。其中9014个甚至包括写权限，除了查看和下载数据外，还允许攻击者添加、修改或删除服务器上的数据。

作为一个跨平台的工具，Firebase被用于许多操作系统和平台，而不仅仅是移动设备，而且被认为会影响更多的应用程序。

谷歌在4月下旬接到有关调查结果的通知，并表示正在与受影响的开发者联系，帮助他们解决发现的问题。

然而，这个问题并不新鲜。2018年，Appthority发现超过3000个Android和iOS应用程序从Firebase数据库泄漏了1亿条记录（113gb的数据）。

【参考来源securityweek】