Lebih dari 4.000 aplikasi Android yang menggunakan basis data Google Firebase yang di-hosting di cloud ‘tanpa sengaja’ membocorkan informasi sensitif data pengguna mereka, termasuk alamat email, nama pengguna, kata sandi, nomor telepon, nama lengkap, pesan obrolan dan data lokasi.
Penyelidikan, yang dipimpin oleh Bob Diachenko dari Security Discovery bekerja sama dengan Comparitech, melaporkan hasil analisis dari 15.735 aplikasi Android, yang terdiri dari sekitar 18 persen dari semua aplikasi di Google Play Store.
“4,8 persen aplikasi mobile yang menggunakan Google Firebase untuk menyimpan data pengguna tidak diamankan dengan benar, memungkinkan siapa pun untuk mengakses basis data yang berisi informasi pribadi pengguna, token akses, dan data lain tanpa kata sandi atau otentikasi lainnya,” kata Comparitech.
Diakuisisi oleh Google pada tahun 2014, Firebase adalah platform pengembangan aplikasi seluler populer yang menawarkan berbagai alat untuk membantu pengembang aplikasi pihak ketiga membangun aplikasi, menyimpan data dan file aplikasi dengan aman, memperbaiki masalah, dan bahkan terlibat dengan pengguna melalui olahpesan dalam fitur aplikasi.
Dengan aplikasi yang rentan tersebut, sebagian besar mencakup kategori game, pendidikan, hiburan, dan bisnis, diunduh 4,22 miliar kali oleh pengguna Android.
Karena Firebase merupakan alat lintas platform, para peneliti juga memperingatkan bahwa kesalahan konfigurasi kemungkinan akan berdampak pada iOS dan aplikasi web juga.
Isi penuh dari database, yang mencakup 4.282 aplikasi, termasuk:
- Alamat email: 7.000.000+
- Username: 4,400,000+
- Kata sandi: 1.000.000+
- Nomor telepon: 5,300,000+
- Nama lengkap: 18.300.000+
- Pesan obrolan: 6,800,000+
- Data GPS: 6,200,000+
- Alamat IP: 156.000+
- Alamat jalan: 560.000+
Diachenko menemukan basis data yang terbuka menggunakan REST API Firebase yang digunakan untuk mengakses data yang disimpan tidak dilindungi, diambil dalam format JSON, hanya dengan suffixing “/.json” ke URL basis data (mis. “https://~project_id~.firebaseio.com/.json”).
Baca Juga: “Setelah Tokopedia, Kini Giliran Bhinneka Yang Terdampak Pelanggaran Data Besar-Besaran“
Selain 155.066 aplikasi yang memiliki database terbuka secara publik, para peneliti menemukan 9.014 aplikasi dengan izin write, sehingga berpotensi memungkinkan penyerang untuk menginjeksikan data berbahaya dan merusak database, dan bahkan menyebarkan malware.
Yang complicated-nya adalah pengindeksan URL basis data Firebase oleh mesin pencari seperti Bing, yang mengekspos endpoint rentan bagi siapa pun di Internet.
Setelah Google diberitahu tentang temuan ini pada 22 April, perusahaan mengatakan sedang berusaha memberitahu pengembang yang terkena dampak untuk memperbaiki masalah tersebut.
Membiarkan basis data terbuka tanpa autentikasi apa pun merupakan sesuatu yang legit bagi aktor ancaman. Karenanya sangat direkomendasikan agar pengembang aplikasi mematuhi standar konfigurasi keamanan basis data Firebase untuk mengamankan data dan mencegah akses yang tidak sah.
