最近,一名未知攻击者开始滥用我们的 iOS 应用程序的 Firebase 电话身份验证,通过使用来自不同 IP 的各种电话号码向 Google.cloud.identitytoolkit.v1.AuthenticationService.SendVerificationCode 发送垃圾邮件请求。因此,我们的应用程序每天损失大约 200 美元。
令我惊讶的是,Firebase 对这些攻击表现得完全无助。 AppCheck 似乎什么也没做(每个可以启用的选项都已启用),而且,没有基本的东西,例如 SendVerificationCode 调用的每个 IP 地址的请求配额。
“支持”也没什么用。它继续重复在线文档中的细胞,而不尝试调查此案。
我以为“阻止功能”会有所帮助,但当我知道他们在短信发送后打电话时,我笑得很厉害,所以他们无法防止我的情况被滥用。
因此,社区的主要问题是:伙计们,如何保护您的 Firebase 电话身份验证免遭滥用?或者最好不要管它并迁移到任何替代服务?
问候,
生成一个新的 API 密钥,实施严格的限制,使用该密钥,并在调用该 API 的每个函数中添加您自己的密钥,将调用记录到基于云的数据库,并将新 API 密钥的使用情况与旧版本进行比较来自 Firebase 报告。这样至少你可以查明泄漏是来自你的源头还是来自 firebase