近日据外媒报道，由于Google Firebase发生严重错误配置，导致4000个Android app的用户数据遭泄露。

据悉，Firebase就是“Firebase，Inc.”，是一个于2011年被首次开发的移动和Web应用程序，随后，它于2014年被Google收购。Firebase提供种服务器分析，包括身份验证、数据库、配置、文件存储和推送消息传递等，而且所有这些服务都被托管在云中，可以由用户轻松使用。目前，在Google Play商店中，有超过30％的应用都在使用Firebase服务。

来自Comparitech的安全研究人员发现，使用Google Firebase存储数据的移动应用程序中有4.8％的应用其安全性并不正确。Firebase的错误配置允许任何人无需密码或任何其他身份验证即可访问包含用户个人信息、访问令牌和其他信息的数据库。根据研究人的统计，发现配置错误的应用程序已经被Android用户安装了42.2亿次，同时使用这些应用可能会给用户隐私带来巨大的风险。

以下是研究人员发现的一些被公开数据，其中包含：700多万条电子邮件地址、440万个用户名信息、100多万条帐号密码信息、530多万的用户电话号码以及其他重要的用户居住定位信息和GPS数据。在分析的155066个Firebase应用程序中，11730个公开了数据库，其中9014个甚至包括修改权限，除了查看和下载数据外，还允许攻击者添加、修改或删除服务器上的数据。

同时，专家发现基于游戏的应用程序比其他类别的应用程序更容易受到此类攻击。

对于此次事件，Google表示， Firebase提供了许多功能，可帮助我们的开发人员安全地配置其部署。目前，Google已经向开发人员发送了有关其部署中可能存在的错误配置的通知，并提供了纠正建议。同时，Firebase也正在与受影响的其他开发人员和用户取得联系，以帮助他们降低数据泄露带来的威胁。（文章来源E安全）