Firebase: Tausende Apps gewähren Zugriff auf Nutzerdaten

Firebase, Googles Development-Plattform für Apps und webbasierte Anwendungen, wird von tausenden Entwicklern für abertausende Apps genutzt. Allerdings hat Firebase auch ein kleines Problem: Dank tausender ungeschützter Datenbänke, könnten Cyberkriminelle an Millionen von Nutzerdaten kommen.

Jeder der schon mal eine Android-App programmiert hat oder es noch will, wird höchstwahrscheinlich in Kontakt mit Firebase kommen. Die Plattform bietet Entwicklern nämlich nicht nur die ach so wichtigen Push-Benachrichtigungen, sondern auch die Möglichkeit einen Chat in die Apps einzubinden, Datenbanken, analytische Tools, Werbemöglichkeiten, und noch vieles mehr. Mit großer Macht kommt aber auch große Verantwortung, etwas was viele Webentwickler anscheinend nicht allzu ernst nehmen.

Daten von mehr als 3000 Apps für Smartphones betroffen

Die Sicherheitsforscher von Appthority haben in einem Report Schockierendes enthüllt: Nachdem sie über ein halbes Jahr lang mehr als 2,7 Millionen Apps untersucht hatten, fanden sie heraus, dass 2446 Android- und 600 iOS-Apps die Daten in Datenbanken abspeichern, die nur unzureichend gesichert sind. Was sich nach einem kleinen Problem anhört wird ganz schnell zu einem ausgewachsenen Desaster, denn insgesamt kann problemlos auf mehr 100 Millionen Datensätze mit einer Gesamtgröße von 113 Gigabyte zugegriffen werden.

Die von den Forschern zusammengetragene Daten beinhalten unter anderem:

  • 2,6 Millionen unverschlüsselte Passwörter und Nutzer-IDs
  • Mehr als 4 Millionen Gesundheitsdaten
  • 25 Millionen GPS-Standortdaten
  • 50,000 Bank- und Bitcoin-Transaktionsdaten
  • Mehr als 4,5 Millionen Benutzertoken von Facebook, LinkedIn, etc.

Wie kann so etwas passieren? Nun, währen Firebase den Entwicklern jede Menge toller Dienste zur Verfügung stellt, sind die Entwickler selbst für den Schutz der Datenbanken und Daten zuständig. Wenn das nicht richtig (oder im schlimmsten Fall gar nicht) getan wird, ist es sehr einfach an die gespeicherten Informationen zu kommen. Man muss dazu laut den Forschern nur ein „/.json“ ans Ende der Server-URL hängen.  Ein kompromittierter Link würde demnach also in etwa folgendermaßen aussehen: https://Zufälliger Projektname.firebaseio.com/.json

Die faulen Apps sind überall

Laut Appthority ist übrigens niemand wirklich vor diesen Apps sicher.  Sie sind auf alle nur erdenklichen Kategorien verteilt, inklusive Tools, Gesundheit und Fitness, Produktivität, Kommunikation, Kryptowährungen, Finanzen, usw.  Es ist also sehr wahrscheinlich, dass auch Sie eine der ungeschützten Anwendungen auf Ihrem Handy haben.

Zum Glück hat Google die betroffenen Apps und deren Entwickler schon über das Problem informiert – man kann also hoffen, dass die Lücken schnell geschlossen werden und die Daten bald wieder sicher sind.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.