Компанія Avast Software виявила в магазині Google Play велику кількість програмних рішень, які можуть розкривати персональні дані користувачів, імена, адреси електронної пошти, геолокаційні відомості, номери телефонів і навіть паролі.
За словами експертів, проблема у неправильній конфігурації бази даних Firebase, яка використовується розробниками софту для Android. Автори програм можуть залишати свої розробки у Firebase видимими для інших розробників, що технічно робить їх видимими для всіх. Коли дослідники Avast Software проаналізували 180 300 загальнодоступних екземплярів Firebase, вони виявили, що більше 10 % (19 300) їх відкриті, а дані доступні неавтентифікованим розробникам.
«Кожне з цих відкритих джерел — потенційний витік даних, який тільки чекає свого часу. У разі виникнення слідом будуть критичні юридичні, нормативні та бізнес-ризики. Гіпотетично, особиста інформація користувачів понад 10% Android-додатків на базі Firebase може бути під загрозою, – пояснює Володимир Мартьянов, дослідник Avast Software. — Будь-якій організації дуже важливо відповідально підходити до розробки ПЗ. Безпека та конфіденційність мають бути ключовою частиною всього процесу розробки, а не «формальною прикруткою» в самому кінці».
Розробникам програм рекомендується налаштувати платформу Firebase, дотримуючись документації Google.
“Ми закликаємо всіх розробників перевірити свої бази даних та інші сховища на предмет можливих неправильних конфігурацій, щоб захистити дані користувачів та зробити наш світ безпечнішим”, – йдеться в заяві Avast Software.