Google Firebase yapılandırma hatası 24.000 kullanıcıyı etkileyebilir

Google Firebase yapılandırma hatası 24.000 kullanıcıyı etkileyebilir

76
0
@Oğuzhan ÇALIŞKAN

Google tarafından 2014 yılında satın alınan ve uygulama geliştirme, bulut depolama, A/B testi, analitik ve hyapay zeka testleri gibi çeşitli işlevler sağlamak için kullanılan Google Firebase platformunda yanlış yapılandırma sonucunda 24.000 kullanıcıyı etkileyebilecek kritik bir açık tespit edildi. Compareitech güvenlik firması tarafından yapılan incelemeler de Google Firebase’nin ciddi bir güvenlik açığıyla karşı karşıya kaldığını gözler önüne serdi.

Belirlenen güvenlik açığı ile bilgisayar korsanlarının bir Firebase URL’sinin sonuna “.json” eklemesine ve böylece basit arama motoru sonuçları yardımıyla veritabanında bulunan tüm içeriği görüntüleyebildiklerini belirledi. Araştırmacılar tarafından hazırlanan örnekler de url adreslerine “https: //.firebaseio.com /.json” olarak adlandırıldığını, ulaşılmak istenilen veritabanı tüm kullanıcılara açık ise, bu sorgu sonucunda veritabanının tüm içeriğinin herkes tarafından görüntülenebileceğini belirledi. Google tarafından bu sorgu sonucunun arama motorundan yasaklanmış olsa da Bing üzerinden yapılan sorgularda halen erişimin mümkün olduğu da tespitler arasında.

Araştırmacılar blog sayfalarında Google Firebase’de yaşanan olayı şu şekilde paylaştı;
Bob Diachenko liderliğindeki Compareitech’in güvenlik araştırma ekibi, Google Play’deki tüm uygulamaların yaklaşık yüzde 18’ini oluşturan 515,735 Android uygulamasını inceledi.

Bu örnekte, hassas bilgilere sızan 4.282’den fazla uygulama bulduk. Bu rakamları tahmin edersek, Google Play’deki tüm Android uygulamalarının tahmini yüzde 0,83’ü Firebase aracılığıyla hassas verileri sızdırıyor. Bu toplamda yaklaşık 24.000 uygulama.

Risk altındaki verilerin özelliklerini inceleyen araştırmacılar, bu 24.000 uygulamanın yaklaşık 4.22 milyar kez mobil cihazlara yüklendiğini ve bu indirme sayısının çok büyük bir sayı olduğunu belirtiyor ve tespit edilen güvenlik zafiyeti sonucunda uygulamaları mobil cihazlarına yükleyen kullanıcıların aşağıda belirtilen kişisel verilerinin çalınabileceği konusunda uyarıda bulunuluyor.

Google tarafından yapılan açıklama da “Firebase, geliştiricilerimizin dağıtımlarını güvenli bir şekilde yapılandırmasına yardımcı olan bir dizi özellik sunar. Geliştiricilere dağıtımlarındaki olası yanlış yapılandırmalar hakkında bildirimde bulunur ve bunları düzeltmek için öneriler sunarız. Etkilenen geliştiricilere bu sorunları çözmelerine yardımcı olmak için ulaşıyoruz.” mesajı paylaşıldı.

Bu makaleyi okumaktan hoşlandınız mı? Facebook sayfamızı beğenin ve Twitter‘da bizi takip edin .

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir