firebase-apk-scanner
AndroidのAPKファイルをスキャンし、Firebaseのオープンデータベース・ストレージバケット・認証の不備・クラウド関数の公開といったセキュリティ設定ミスを検出します。APKのFirebase脆弱性調査、モバイルアプリのセキュリティ監査、FirebaseエンドポイントのセキュリティテストなどのシーンでAPIを活用してください。本スキルは正規の権限を持つセキュリティリサーチ用途に限定されます。
description の原文を見る
Scans Android APKs for Firebase security misconfigurations including open databases, storage buckets, authentication issues, and exposed cloud functions. Use when analyzing APK files for Firebase vulnerabilities, performing mobile app security audits, or testing Firebase endpoint security. For authorized security research only.
SKILL.md 本文
Firebase APK セキュリティスキャナー
Firebase セキュリティアナリストとして、このスキルが呼び出されたときは、提供された APK をスキャンして Firebase の設定ミスを検査し、検出結果をレポートします。
使用する場合
- Android アプリケーションの Firebase セキュリティ設定ミス監査
- APK から抽出した Firebase エンドポイント(Realtime Database、Firestore、Storage)のテスト
- 認証セキュリティの確認(オープンサインアップ、匿名認証、メールアドレス列挙)
- Cloud Functions の列挙および未認証アクセスのテスト
- Firebase バックエンドを使用するモバイルアプリのセキュリティ評価
- Firebase を使用したアプリケーションの許可された侵入テスト
使用しない場合
- テストを明確に許可されていないアプリのスキャン
- 書面による許可なく本番環境の Firebase プロジェクトをテスト
- Firebase 設定の抽出のみが必要な場合(代わりに手動で grep/strings を使用)
- Android 以外のターゲット(iOS、ウェブアプリ)の場合 - このスキルは APK 専用です
- ターゲットアプリが Firebase を使用していない場合
却下すべき言い訳
監査を行う際に、以下の一般的な言い訳で検出結果が見落とされたり軽視されるのを防いでください:
- 「データベースが読み取り専用だから問題ない」 - データ漏洩は依然として重大な検出結果です。個人識別情報、API キー、ビジネスデータが漏洩する可能性があります
- 「匿名認証に過ぎず、実際のアカウントではない」 - 匿名トークンは
auth != nullルールをバイパスし、「認証済みのみ」リソースにアクセスできます - 「API キーはどうせ公開されている」 - 公開 API キーは、オープンなデータベースルールや無効な認証制限を正当化しません
- 「そこに機密データは何もない」 - 将来どのようなデータが保存されるか予測することはできません。安全でないルールは、現在のコンテンツに関係なく脆弱性です
- 「内部アプリだ」 - APK はどのデバイスからでも抽出できます。「内部」アプリはリバースエンジニアリングから保護されていません
- 「起動前に修正する」 - 検出結果をドキュメント化してください。起動前の脆弱性は本番環境に頻繁にシップされます
参考ドキュメント
詳細な脆弱性パターンと悪用技術については、以下を参照してください:
脆弱性パターンリファレンス
このスキルの使い方
ユーザーは APK ファイルまたはディレクトリを提供します:$ARGUMENTS
ワークフロー
ステップ 1:入力の検証
まずターゲットが存在することを確認します:
ls -la $ARGUMENTS
$ARGUMENTS が空の場合は、ユーザーに APK パスを提供するよう依頼してください。
ステップ 2:スキャナーを実行
バンドルされたスキャナースクリプトをターゲットで実行します:
{baseDir}/scanner.sh $ARGUMENTS
スキャナーは以下を実行します:
- apktool を使用して APK をデコンパイル
- すべてのソース(google-services.json、XML リソース、アセット、smali コード、DEX 文字列)から Firebase 設定を抽出
- 認証エンドポイントをテスト(オープンサインアップ、匿名認証、メールアドレス列挙)
- Realtime Database をテスト(未認証読み取り/書き込み、認証バイパス)
- Firestore をテスト(ドキュメントアクセス、コレクション列挙)
- Storage バケットをテスト(リスト表示、書き込みアクセス)
- Cloud Functions をテスト(列挙、未認証アクセス)
- Remote Config の漏洩をテスト
- テキスト形式と JSON 形式でレポートを生成
ステップ 3:結果を提示
スキャナーが完了したら、結果を読んで要約します:
cat firebase_scan_*/scan_report.txt
以下の形式で検出結果を提示します:
スキャン概要
| メトリック | 値 |
|---|---|
| スキャンした APK | X |
| 脆弱性あり | X |
| 合計イシュー | X |
抽出された設定
| フィールド | 値 |
|---|---|
| プロジェクト ID | extracted_value |
| データベース URL | extracted_value |
| Storage バケット | extracted_value |
| API キー | extracted_value |
| 認証ドメイン | extracted_value |
検出された脆弱性
| 重要度 | イシュー | 証拠 |
|---|---|---|
| CRITICAL | 説明 | 簡潔な証拠 |
| HIGH | 説明 | 簡潔な証拠 |
修復方法
検出された各脆弱性に対する具体的な修正方法を提供します。セキュアなコード例については 脆弱性パターン を参照してください。
手動テスト(スキャナーが失敗した場合)
スキャナースクリプトが利用不可またはテストに失敗した場合は、手動で抽出とテストを実行します:
設定を抽出
デコンパイルされた APK 内で Firebase 設定を検索します:
# デコンパイル
apktool d -f -o ./decompiled $ARGUMENTS
# google-services.json を検索
find ./decompiled -name "google-services.json"
# XML リソースを検索
grep -r "firebaseio.com\|appspot.com\|AIza" ./decompiled/res/
# アセットを検索(ハイブリッドアプリ)
grep -r "firebaseio.com\|AIza" ./decompiled/assets/
エンドポイントをテスト
PROJECT_ID と API_KEY を取得したら:
認証:
# オープンサインアップをテスト
curl -s -X POST -H "Content-Type: application/json" \
-d '{"email":"test@test.com","password":"Test123!","returnSecureToken":true}' \
"https://identitytoolkit.googleapis.com/v1/accounts:signUp?key=API_KEY"
# 匿名認証をテスト
curl -s -X POST -H "Content-Type: application/json" \
-d '{"returnSecureToken":true}' \
"https://identitytoolkit.googleapis.com/v1/accounts:signUp?key=API_KEY"
データベース:
# Realtime Database 読み取り
curl -s "https://PROJECT_ID.firebaseio.com/.json"
# Firestore 読み取り
curl -s "https://firestore.googleapis.com/v1/projects/PROJECT_ID/databases/(default)/documents"
Storage:
# バケットをリスト表示
curl -s "https://firebasestorage.googleapis.com/v0/b/PROJECT_ID.appspot.com/o"
Remote Config:
curl -s -H "x-goog-api-key: API_KEY" \
"https://firebaseremoteconfig.googleapis.com/v1/projects/PROJECT_ID/remoteConfig"
重要度の分類
- CRITICAL: 未認証のデータベース読み取り/書き込み、Storage 書き込み、プライベートアプリでのオープンサインアップ
- HIGH: 匿名認証が有効、Storage バケットリスト表示、コレクション列挙
- MEDIUM: メールアドレス列挙、アクセス可能な Cloud Functions、Remote Config の漏洩
- LOW: 機密データなしの情報漏洩
重要なガイドライン
- 認可が必要 - テストを許可された APK のみをスキャンしてください
- テストデータをクリーンアップ - スキャナーは自動的に作成したテストエントリを削除します
- トークンを保存 - 匿名認証が成功した場合、トークンを使用して認証バイパステストを行います
- すべてのリージョンをテスト - Cloud Functions は us-central1、europe-west1、asia-east1 などにデプロイされている可能性があります
- 複数インスタンス - 一部のアプリは複数の Firebase プロジェクトを使用します。すべての検出された設定をテストしてください
ライセンス: CC-BY-SA-4.0(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- trailofbits
- リポジトリ
- trailofbits/skills
- ライセンス
- CC-BY-SA-4.0
- 最終更新
- 不明
Source: https://github.com/trailofbits/skills / ライセンス: CC-BY-SA-4.0
関連スキル
superpowers-streamer-cli
SuperPowers デスクトップストリーマーの npm パッケージをインストール、ログイン、実行、トラブルシューティングできます。ユーザーが npm から `superpowers-ai` をセットアップしたい場合、メールまたは電話でサインインもしくはアカウント作成を行いたい場合、ストリーマーを起動したい場合、表示されたコントロールリンクを開きたい場合、後で停止したい場合、またはソースコードへのアクセスなしに npm やランタイムの一般的な問題から復旧したい場合に使用します。
catc-client-ops
Catalyst Centerのクライアント操作・監視機能 - 有線・無線クライアントのリスト表示・フィルタリング、MACアドレスによる詳細なクライアント検索、クライアント数分析、時間軸での分析、SSIDおよび周波数帯によるフィルタリング、無線トラブルシューティング機能を提供します。MACアドレスやIPアドレスでのクライアント検索、サイト別やSSID別のクライアント数集計、無線周波数帯の分布分析、Wi-Fi信号の問題調査が必要な場合に活用できます。
ci-cd-and-automation
CI/CDパイプラインの設定を自動化します。ビルドおよびデプロイメントパイプラインの構築または変更時に使用できます。品質ゲートの自動化、CI内のテストランナー設定、またはデプロイメント戦略の確立が必要な場合に活用します。
shipping-and-launch
本番環境へのリリース準備を行います。本番環境へのデプロイ準備が必要な場合、リリース前チェックリストが必要な場合、監視機能の設定を行う場合、段階的なロールアウトを計画する場合、またはロールバック戦略が必要な場合に使用します。
linear-release-setup
Linear Releaseに向けたCI/CD設定を生成します。リリース追跡の設定、LinearのCIパイプライン構築、またはLinearリリースとのデプロイメント連携を実施する際に利用できます。GitHub Actions、GitLab CI、CircleCIなど複数のプラットフォームに対応しています。
tracking-application-response-times
API エンドポイント、データベースクエリ、サービスコール全体にわたるアプリケーションのレスポンスタイムを追跡・最適化できます。パフォーマンス監視やボトルネック特定の際に活用してください。「レスポンスタイムを追跡する」「API パフォーマンスを監視する」「遅延を分析する」といった表現で呼び出せます。