セキュリティ研究者らによると、約 2,200 件のセキュリティ保護されていない Firebase データベースが原因で、3,000 件を超える iOS および Android アプリのユーザーデータが漏洩し、プレーンテキストのパスワード、健康情報、GPS 位置情報データなど 1 億件を超える記録が公開されたという。
モバイルアプリセキュリティ企業Appthorityの最新レポート「2018年第2四半期 エンタープライズモバイル脅威レポート」によると、この問題は「HospitalGown脆弱性」と呼ばれる脆弱性の新たな亜種によって引き起こされているという。「バックエンドデータストアを介したデータ漏洩」に対処することから「HospitalGown」という皮肉な名前が付けられたこの脆弱性は、2017年にAppthorityのモバイル脅威チームによって初めて特定された。
現在、Appthority は、アプリ開発者が Google Firebase クラウド データベースの認証を要求しないことを選択した場合に問題が発生していると報告しています。これは、開発者がこの人気の開発ツールを使用する場合、デフォルトでは行われません。
Appthorityは、Firebaseデータベースを使用している1,275個のiOSアプリのうち、600個に脆弱性があることを発見しました。全体として、3,000個以上のアプリが、設定ミスのある2,271個のデータベースからデータを漏洩していました。漏洩したデータには、260万件のプレーンテキストのパスワードとユーザーID、400万件以上の保護対象健康情報(PHI)記録、そして5万件の金融記録が含まれています。
「データを適切に保護するには、開発者はすべてのデータベーステーブルと行にユーザー認証を明示的に実装する必要がありますが、実際にはほとんど行われていません」とAppthorityはレポートで述べています。「さらに、攻撃者が公開されているFirebaseアプリデータベースを見つけ出し、数百万件ものプライベートなモバイルデータアプリレコードにアクセスするのは、ほとんど手間がかかりません。」
先週の調査結果を報じたBleeping Computerが指摘したように、Firebaseはモバイルアプリ開発用のバックエンドツールを含むGoogleの製品です。多くのAndroid開発者がFirebaseを利用しており、一部のiOSアプリもデータの保存と分析にこのサービスを利用しています。Appthorityは270万のiOSおよびAndroidアプリを評価し、Firebaseバックエンドにデータを保存しているモバイルアプリを28,502個(Androidアプリ27,227個、iOSアプリ1,275個)特定しました。
Appthorityは、Firebaseの利用が増加するにつれて、脆弱なアプリの数も増加していることも発見しました。2017年には、Firebase DBを使用している53,010個のアプリのうち、4,578個(9%)が脆弱でした。
Appthority は、開発者がデータをより効果的に保護することを推奨しています。
「サードパーティが開発した社内アプリ、社内開発アプリ、そして従業員の生産性向上のために公開されている公開アプリについて、徹底的なセキュリティレビューを実施する必要があります」とAppthorityはレポートで述べています。「Appthority Mobile Threat Protectionのような、アプリの脅威とバックエンドの脆弱性に焦点を当てた自動化されたMTDソリューションがなければ、EMMで公開されている企業向けアプリや公開アプリで、この脅威によって漏洩したデータの可視化を実現することは困難です。」
Google はこの問題について通知を受けており、影響を受けるアプリとサーバーのリストを提供した。
![AT&T、Sprint、T-Mobile、VerizonのiPhone向け「無制限」ワイヤレスプランを比較 [u]](https://image.tslro.com/imggkole/a3/32/20224-22017-carriersexexpenses-xl.webp)
