「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認 | ScanNetSecurity
2021.09.25(土)

「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認

Avast Softwareは9月1日、Googleのモバイル及びWebアプリ開発プラットフォームである「Firebase」についての調査結果を同社ブログで発表した。同社では2021年7月末に、オープンなFirebaseの実証調査を行っている。

調査・レポート・白書 調査・ホワイトペーパー
 Avast Softwareは9月1日、Googleのモバイル及びWebアプリ開発プラットフォームである「Firebase」についての調査結果を同社ブログで発表した。同社では2021年7月末に、オープンなFirebaseの実証調査を行っている。

 調査によると、同社のシステムにある約18万300件のFirebaseアドレスについて、そのうち約1万9,300件(10.7%)のFirebase DBがアプリ開発者の誤った設定により、認証されていないユーザーにデータを公開していることが判明した。これらのアドレスは、主にAndroidアプリから静的及び動的に抽出している。

 同社ではこれらのFirebaseアドレスを取得し、どれだけのアドレスがオープンになっているかをクレデンシャルなしで「読み取り」アクセスが可能な例のみを調査した。これらのオープンなFirebaseによって開発されたアプリが保存・使用するデータを盗難の危険にさらすことになる。アプリは様々な情報を保存し使用することができ、その中には名前や生年月日、住所、電話番号、位置情報、サービストークン、鍵などの個人を特定できる情報(PII)が含まれているが、開発者が悪質な行為を行うとDBに平文のパスワードが含まれることもあり、Firebaseを使ったアプリのユーザーの10%以上の個人情報が危険にさらされる可能性があると指摘している。

 同社では今回の結果をGoogleに報告し、オープンになっていると特定されたアプリの開発者に通知するよう依頼するとともに、一部の開発者には同社が連絡を行った。

 同社では最後に「ユーザーのデータを保護し、デジタル社会をより安全なものにするために、すべての開発者がデータベースやその他のストレージに設定ミスがないかどうかを確認すること」が最も重要と締めている。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  2. 静岡大学のクラウドサーバに不正アクセス、約53,000通の迷惑メール送信の踏み台に

    静岡大学のクラウドサーバに不正アクセス、約53,000通の迷惑メール送信の踏み台に

  3. 新生銀行グループのアプラス、約48万件のカード会員向けログイン情報を委託先2社に誤って提供

    新生銀行グループのアプラス、約48万件のカード会員向けログイン情報を委託先2社に誤って提供

  4. IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

    IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

  5. 山口県でスーパーマーケット展開する丸久の委託先ジーアールに不正アクセス、25,693件の個人情報流出

    山口県でスーパーマーケット展開する丸久の委託先ジーアールに不正アクセス、25,693件の個人情報流出

  6. オンラインスーパーを管理する東芝テック 委託先ジーアール社に不正アクセス、顧客情報6,337件流出

    オンラインスーパーを管理する東芝テック 委託先ジーアール社に不正アクセス、顧客情報6,337件流出

  7. ソフトウェアベンダの不手際トップ10、第1位はアクセスコントロールの不備 ~ OWASP発表

    ソフトウェアベンダの不手際トップ10、第1位はアクセスコントロールの不備 ~ OWASP発表

  8. JPRS、Windows DNSの複数の脆弱性情報を公開

    JPRS、Windows DNSの複数の脆弱性情報を公開

  9. 学部内の情報交換に使用した「LINE」トークルームに何者かが参加、180日分のトーク履歴が流出

    学部内の情報交換に使用した「LINE」トークルームに何者かが参加、180日分のトーク履歴が流出

  10. 新たに倉敷市でも発覚したオリエンタルコンサルタンツグループへのランサムウェア攻撃、登記簿情報も流出の可能性

    新たに倉敷市でも発覚したオリエンタルコンサルタンツグループへのランサムウェア攻撃、登記簿情報も流出の可能性

ランキングをもっと見る