- Cybernewsは、露出したFirebaseインスタンスを通じて機密性の高いユーザーデータを漏えいしていた設定不備の写真IDアプリ3本を発見した
- 漏えいによりメールアドレス、ユーザー名、プロフィール写真、GPS座標、通知トークンが露出し、約15万2,000人のユーザーに影響
- ハッカーはすでに公開データベースへアクセスしており、開発者は繰り返し連絡を試みても反応がない
写真の中の物体を識別する複数のモバイルアプリケーションが、インターネット上に極めて機微な情報を漏えいしており、ハッカーがそれを入手することに成功した。
3つのアプリはいずれもFirebaseインスタンスの設定不備により、認証およびアクセス制御が不十分な状態になっていた。データは公開データベースに置かれており、メールアドレス、ユーザー名(多くはフルネームを含む)、Firebase Cloud Messaging(FCM)の通知トークン、プロフィール写真、GPS座標が含まれていた。
アプリの全ユーザーが侵害されたわけではない点に気づくだろう。これは、設定不備のFirebaseインスタンスに依存する機能がオプションだったためと考えられ、特定の追加機能を有効にした人だけが侵害された可能性がある。
ハッカーが嗅ぎつけた
Cybernewsによると、データ漏えいが確認された3つのアプリは次のとおりだ。
- Dog Breed Identifier Photo Cam(ダウンロード数50万、影響を受けたユーザー66,182人)
- Spider Identifier App by Photo(ダウンロード数50万、影響を受けたユーザー40,779人)
- Insect identifier by Photo Cam(ダウンロード数100万、影響を受けたユーザー45,005人)
データの大半はフィッシングやなりすまし(ID窃盗)に悪用され得るが、GPS座標が含まれていることでこの侵害はさらに深刻になる。というのも、居住地や勤務先、日々の行動習慣まで明らかにできてしまうからだ。
Cybernewsの研究者は、データベース内に概念実証(PoC)のエントリを見つけたと述べている。これは「安全対策のないデータベースを探してインターネットをスキャンする自動ボットが残す一般的な痕跡」だ。つまり、ハッカーはすでにファイルを見つけていたということになる。
「アプリのインストール数は相当なものです。ユーザーがアプリの人気度を測るために頼る一般的な指標であり、信頼要因にもなっています」とCybernewsの研究チームは述べた。「こうしたデータ漏えいは、人気だけを頼りにアプリの安全性を判断するのでは不十分であることを示しています。」
残念ながら研究者は、何度も連絡を取ったにもかかわらず、アプリの開発者と連絡を取ることができなかった。
