Cyberthreat.id - Lebih dari 4.000 aplikasi Android yang menggunakan database Google Firebase membocorkan data pengguna sehingga terbuka untuk umum. Memungkinkan seseorang yang tidak diinginkan dapat masuk ke dalam database tersebut dengan mudah. Penyebabnya adalah kesalahan dalam konfigurasi.

Peneliti keamanan yang dipimpin Bob Diachenko dari Security Discovery berkolaborasi dengan Comparitech mengungkapkan, Google Firebase tanpa diketahui telah membocorkan informasi sensitif seperti email, nama pengguna, password, nomor telepon, nama lengkap, pesan obrolan, hingga data lokasi.

Diachenko bersama Comparitech menganalisis sebanyak 515.735 aplikasi Android. Jumlah itu setara dengan 18 persen dari semua aplikasi yang terdapat di Google Play Store.

Hasil analisis menyebutkan 155.066 aplikasi di Google Play Store menggunakan database Google Firebase. Dari data tersebut, 4,8 persen aplikasi yang menggunakan Google Firebase untuk menyimpan data tidak diamankan dengan benar.

"Memungkinkan siapapun untuk mengakses database yang berisi informasi pribadi pengguna, token akses, dan data lain tanpa password atau otentikasi lainnya," tulis laporan Comparitech seperti dikutip The Hacker News, Selasa (12 Mei 2020).

Sekitar 9.014 diantaranya menyertakan izin menulis yang memungkinkan penyerang menambah, memodifikasi, atau menghapus data di server pada Google Firebase.

"Dalam sampel itu, kami menemukan lebih dari 4.282 aplikasi mengekspos informasi sensitif. Jika kami memperkirakan angka-angka itu, 0,83 persen dari semua aplikasi Android di Google Play Store membocorkan data sensitif melalui Firebase."

Firebase yang diakuisisi Google pada 2014 merupakan layanan cloud-host yang ditujukan untuk mempermudah developer aplikasi dalam mengembangkan suatu aplikasi, membangun aplikasi, menyimpan data dan file aplikasi, hingga terhubung dengan pengguna melalui fitur in-app messaging.

Menurut Comparitech, Google Firebase telah digunakan oleh sekitar 30 persen dari semua aplikasi yang tersedia di Google Play Store, menjadikannya salah satu solusi yang populer bagi developer aplikasi Android.

Comparitech mengungkapkan aplikasi-aplikasi rentan yang diidentifikasi telah diinstal sebanyak 4,22 miliar pengguna Android. Itu sebabnya, "kemungkinan besar privasi pengguna Android telah diretas oleh setidaknya satu aplikasi."

Data yang terekspos mencakup:

1. Lebih dari 7 juta data alamat email.
2. Lebih dari 4,4 juta data nama pengguna.
3. Lebih dari 1 juta data password.
4. Lebih dari 5,3 juta data nomor telepon.
5. Lebih dari 18,3 juta data nama lengkap.
6. Lebih dari 6,8 juta data pesan obrolan.
7. Lebih dari 6,2 juta data lokasi/GPS.
8. Lebih dari 156.000 data alamat IP.
9. Lebih dari 560.000 data alamat rumah.

Juru bicara Google mengatakan, "Firebase menyediakan sejumlah fitur yang membantu developer mengonfigurasi penyebaran mereka dengan aman."

"Kami memberikan pemberitahuan kepada developer tentang kemungkinan kesalahan konfigurasi dalam penyebaran mereka dan menawarkan rekomendasi untuk memperbaikinya. Kami menjangkau developer yang terpengaruh untuk membantu mereka mengatasi masalah ini."[]

Redaktur: Arif Rahman