Một phân tích gần đây cho thấy hơn 150 ứng dụng phổ biến, trong đó có những ứng dụng đạt hơn 100 triệu lượt tải, đã làm lộ dữ liệu nhạy cảm của người dùng do sai cấu hình dịch vụ Google Firebase. Sự cố này nhấn mạnh rằng ứng dụng di động ngày nay nằm trong một hệ sinh thái phức tạp đến mức chỉ một điểm yếu nhỏ cũng có thể trở thành “mắt xích” làm lộ thông tin quan trọng.

FIREBASE SAI CẤU HÌNH – VẤN ĐỀ LÂU DÀI CỦA BẢO MẬT DỮ LIỆU 

Sai cấu hình (misconfiguration) đã được xem là một khủng hoảng bảo mật quy mô lớn và dài hạn.

• Năm 2019, Đại học Bang Ohio đã công bố nghiên cứu về rò rỉ dữ liệu trên đám mây từ ứng dụng di động.

• Năm 2022, Quokka phát hiện 609.428 ứng dụng Android bị sai cấu hình (33,2%) trong tổng số 1,8 triệu ứng dụng từ Google Play.

• Đến nay, một phân tích mới tiếp tục cho thấy 150 ứng dụng phổ biến vẫn để lộ dữ liệu người dùng vì lỗi cấu hình Firebase.

KẾT QUẢ CHÍNH TỪ PHÂN TÍCH FIREBASE

• Quy mô: Khoảng 80% ứng dụng trong số 1.200 app được phân tích có sử dụng Firebase; 150 trong số đó có cấu hình “test mode” hoặc quyền quá rộng, cho phép truy cập dữ liệu mà không cần xác thực.

• Dữ liệu bị lộ: Thông tin thanh toán, thông tin đăng nhập, tin nhắn, mật khẩu dạng rõ (cleartext), dữ liệu vị trí, ảnh thẻ ID, và cả khóa truy cập đám mây (AWS, GitHub, OpenAI…).

• Nguyên nhân: Nhà phát triển để Firebase ở chế độ test trong quá trình phát triển, sau đó quên siết lại quyền truy cập hoặc đặt rule quá lỏng.

SAI CẤU HÌNH KHÔNG CHỈ LÀ LỖI KỸ THUẬT – NÓ MỞ RA CỬA NGÕ TẤN CÔNG 

Sai cấu hình manifest trong Android có thể dẫn đến nhiều rủi ro:

• Component Hijacking / Truy cập trái phép: Nếu một service hay activity bị “export” nhầm, ứng dụng độc hại có thể chiếm quyền điều khiển.

• Rò rỉ dữ liệu nhạy cảm: Lỗi trong chính sách backup hoặc quyền có thể khiến dữ liệu bị trích xuất.

• Crash / Mất chức năng: Thiếu hoặc sai thuộc tính có thể khiến app không chạy được.

• Giả mạo tin nhắn / Broadcast misuse: Cấu hình intent filter sai cho phép tin nhắn giả mạo lọt vào ứng dụng.

• Lộ API nội bộ: API “private” có thể bị phơi bày ra ngoài.

VÌ SAO NHÀ PHÁT TRIỂN THƯỜNG SAI CẤU HÌNH?

• Copy-paste code: Sao chép đoạn cấu hình từ blog, code mẫu, thư viện bên thứ ba mà không kiểm chứng.

• Vấn đề tương thích phiên bản: Cấu hình đúng ở phiên bản Android cũ có thể bị sai ở phiên bản mới.

• Không phải mọi lỗi đều thành lỗ hổng: Nhưng nhiều lỗi tạo ra hành vi không mong muốn, hoặc giảm bảo mật.

GIẢI PHÁP TỪ QUOKKA: NHÌN THẤY RỦI RO ẨN TRONG ỨNG DỤNG 

Quokka sử dụng AI-powered mobile app risk intelligence để phát hiện sai cấu hình bảo mật ngay trong manifest, giúp:

• Có tầm nhìn toàn diện về hành vi ứng dụng, luồng dữ liệu và rủi ro tiềm ẩn.

• Ứng dụng được build với Q-mast, kiểm soát trên thiết bị nhân viên với Q-scout, hoặc tích hợp trực tiếp vào giải pháp công nghệ của bạn.

Với Quokka, doanh nghiệp có thể bịt kín những điểm mù bảo mật trên di động và giảm nguy cơ rò rỉ dữ liệu ngay từ gốc.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.