Firebase

Selon Push Security (billet de blog signé par Dan Green), l’éditeur a détecté et bloqué une campagne de phishing sophistiquée livrée via LinkedIn, conçue pour échapper aux contrôles traditionnels et voler des sessions Microsoft via une page d’hameçonnage en Adversary-in-the-Middle (AITM). • Chaîne d’attaque: un lien malveillant envoyé en DM LinkedIn provoque une série de redirections (dont Google Search puis payrails-canaccord[.]icu) avant d’aboutir sur une landing page personnalisée hébergée sur firebasestorage.googleapis[.]com. L’utilisateur est invité à « view with Microsoft », puis doit passer un challenge Cloudflare Turnstile sur login.kggpho[.]icu; la page de phishing qui imite Microsoft est alors servie. La saisie des identifiants et la validation MFA conduisent au vol de session par l’attaquant. ...

Selon ice0.blog, une analyse de ~1 200 applications mobiles parmi les plus populaires a mis en évidence des règles de sécurité Firebase faibles (« test mode » et règles permissives) conduisant à plus de 150 services ouverts — Realtime Database, Storage, Firestore et Remote Config — avec exposition de données sensibles; l’auteur publie l’outil OpenFirebase pour automatiser la détection sur plusieurs services et formats. • Constat principal: des centaines d’apps (souvent à 100K+, 1M+, 10M+, 50M+, 100M+ téléchargements) utilisent Firebase (≈80%) et une part significative présente des accès non authentifiés. Données exposées: paiements, données utilisateurs, messages privés, mots de passe en clair, prompts, tokens GitHub/AWS à privilèges élevés, etc. L’incident « Tea » a servi de déclencheur, mais le problème est bien plus large. ...

Selon Hunt.io (billet du 20 août 2025, avec recoupements Trellix), une campagne sophistiquée attribuée à APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hébergés sur Firebase/Web.app, des scripts VBS et l’abus d’outils légitimes pour maintenir un accès persistant. • Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblé se faisant passer pour un recruteur de Rothschild & Co mènent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrées. La chaîne d’infection déploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrôlée et installe NetBird et OpenSSH afin d’établir une persistance et un contrôle à distance. Les opérateurs abusent également d’outils légitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activité avec APT MuddyWater. ...

Selon Intigriti, ce guide présente une méthodologie complète pour repérer des implémentations Google Firebase et évaluer des mauvaises configurations fréquentes dans Firestore et Firebase Storage, avec des exemples pratiques de règles vulnérables menant à l’accès non autorisé, la manipulation ou la suppression de données. Le document couvre la fingerprinting de déploiements Firebase via l’analyse du trafic réseau et la découverte de la configuration dans le JavaScript côté client, la création de requêtes HTTP vers les API REST (firestore.googleapis.com et firebasestorage.app), ainsi que des tests d’accès avec des sessions anonymes et authentifiées. ...

TechCrunch rapporte que Google a suspendu l’opération de spyware Catwatchful, qui utilisait les serveurs de Google pour fonctionner. Cette décision intervient un mois après que TechCrunch ait alerté Google sur l’hébergement de cette opération sur Firebase, une plateforme de développement de Google. Catwatchful, présenté comme une application de surveillance pour enfants, était en réalité un spyware Android qui restait caché sur l’écran d’accueil de la victime. Il collectait et transmettait des données privées telles que des messages, des photos et des données de localisation à un tableau de bord accessible par l’installateur du spyware. ...