Firebase-Datenbanken: Passwörter und Nutzerdaten von tausenden Apps offen

Viele App-Entwickler für Smartphones nutzen die Firebase-Datenbanken für die Speicherung der Daten und Passwörter ihrer Anwender. Wie die Sicherheitsforscher von Appthority in einem Report berichten, sind diese meist nur unzureichend gesichert und können sehr leicht von Dritten ausgelesen werden. Dabei soll Millionen von Nutzerdaten wie unverschlüsselte Passwärter, API-Keyps, Finanzdaten von Unternehmen als 2.200 unsicher konfigurierten Datenbanken liegen. Insgesamt konnten die Sicherheitsforscher 113 Gigabyte an Daten in kürzester Zeit ausfindig machen.

Laut den Sicherheitsforschern von Appthority wurde Google vor Erscheinen des Berichtes über die Sicherheitslücke aufgeklärt und die Betreiber der Apps informiert. Inwieweit die Sicherheitslücken bislang bereits geschlossen werden konnte, ist aber dennoch unklar.

Appthority hat 2,7 Millionen Android- und iOS-Apps für ihren Report untersucht und konnte 28.502 Programme mit Nutzung der Firebase-Datenbanken ausmachen, wovon 2.446 die Daten ungesichert speichern. Der Zugriff auf eine ungesicherte Datenbank erfolgt dabei mittels manipulierter URL-Adresse mit dem einfachen Zusatz "/.json". Insgesamt sollen die Apps zusammen mehr als 620 Millionen Mal heruntergeladen worden sein.

(Bild: Firebase-Datenbank mit MySQL-Adapter)