超过10%的 Firebase 数据库易受攻击并暴露数据

尽管多年来一直在警告称不要在未认证的情况下使重要的数据库暴露在网上，但似乎很多 Firebase 管理人员未能理解这些实践的危险性。只需通过一些基本的脚本或搜索查询即可轻松找到网络上的敏感用户数据。

网络安全公司 Avast 在2021年7月开展调查并在上周三发布结果称，在18.03万个数据库中，近1.93万个 Firebase 数据库在未认证的情况下被曝在网上。

Avast 公司的安全研究员 Vladimir Martyanov 表示，“在所测试的数据库中，10.7%的数据库是公开的，因app 开发人员的错误配置，导致数据被暴露给未认证用户。“

Firebase 数据库在2012年开发，是专门用于现代网站和移动 app 后端的实时数据库，是当前最流行的数据库引擎。Firebase 在2014年被谷歌收购，作为基于云的数据存储系统，多数数据库托管在 firebaseio.com 子域名中。

多年来，Firebase 已成为多数安卓和 iOS 应用的必用数据库，主要得益于其几乎能够实时处理海量数据加载的能力。

然而，即使在最初时候，安全研究员就已经发现很多 app 开发人员一直难以配置系统，经常导致用户数据被暴露在网上，可供任何人访问。

2018年开展的一项研究结果显示，3046款 app（2446 款安卓 app和600款 iOS app）通过2271多个配置不当的Firebase数据库暴露了超过113GB 的数据。两年后，随着 Firebase 的流行程度与日俱增，后续调查显示，超过2.4万款安卓应用程序通过 Firebase 后端暴露用户数据，这表明虽然一直在警告，但开发人员仍未认真对待安全。

此外，由于多数数据库托管在 firebaseio.com 域名上，因此不要求密码的数据库也经常被搜索引擎索引，导致任何人仅通过简单的查询即可找到这些系统。虽然谷歌过滤其搜索结果，但其它搜索引擎仍然会显示 Firebase 后端数据，直到今天仍然有低下数据经纪人定期搜刮这些数据。

2016年，谷歌推出高级认证特性；然而，Martyanov 的研究结果显示，仍然还有1.93万个 Firebase 后端暴露在网上。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。