Comparitechは5月11日(米国時間)、「24,000 Android apps expose user data through Firebase blunders」において、同社のセキュリティ調査チームの分析の結果、Google Play Storeに登録されている推定2万4000のAndroidアプリに機密情報漏洩の脆弱性が存在する可能性があると伝えた。

Firebase設定ミスによる脆弱性を含むGoogle Play Storeにおけるアプリのカテゴリ別割合 - 資料: Comparitech

Google Play Storeに登録されているAndroidアプリの約30%がストレージ・ソリューションとしてGoogle Firebaseを使用していると考えられている。こうしたアプリのうち、4.8%は保護設定が不適切であるため、誰でもパスワードなどの機密情報にアクセスできる状況になっていると指摘されている。同調査チームは、こうしたアプリについて、メールアドレス、ユーザー名、パスワード、電話番号、氏名、チャットメッセージ、GPSデータ、IPアドレス、住所、クレジットカード番号、身分証明書写真などにアクセスできたとされている。いくつかのアプリはデータの構内のみならず追加や変更、削除なども可能だったという。

この脆弱性は、開発者が次のガイドラインに従ってFirebaseの設定を行うことで、修正できるとされている。

Understand Firebase Realtime Database Rules

問題が修正されるまではユーザー側も個別に対策を取る必要があるが、Comparitechではユーザーに対して次のような対策を推奨している。

複数のアカウントで同じパスワードを使い回さない。パスワード管理アプリを使用するなどして強力なパスワードの生成および管理を行う

レビューとインストール数の多い信頼できるアプリのみを使用する。

アプリにおいて、どの情報が共有対象となるのかに注意する。

個人の住所、政府発行IDの写真、社会保険番号などの個人情報は共有しない。

FirebaseはGoogleのモバイルアプリ開発プラットフォームで、2014年にGoogleに買収された。開発者はFirebaseを使うことで認証、ホスティング、クラウドストレージ、リアルタイムデータベース、分析、メッセージング、Admob統合、機械学習などを利用することができる。