In der Firebird.conf gibt es einen Parameter, um das Verhalten zu ändern: RemoteFileOpenAbility.
Da steht aber auch "DO NOT ENABLE THIS OPTION UNLESS YOU REALLY KNOW WHAT YOU ARE DOING."

Siehe dazu auch: http://www.firebirdfaq.org/faq46/

Aber sie benutzen doch gar keinen Server. Peasadas schreibt "der Server läuft tatsächlich im embedded Mode". Das heißt, der "Datenbankserver" läuft tatsächlich auf dem Client!

Ich nehme mal an, das Prozedere mit den Freigaben für jeden User stammt noch aus der Urzeit, wo man möglicherweise mit Paradox oder dBase direkt auf die Daten zugegriffen hat. Und weil sich das so bewährt hat, wurde es für Firebird beibehalten. Einen "echten" Server nutzt man nicht, denn klar kann man über Alias auf die Datenbanken zugreifen, und klar kann man sich dann die Freigaben komplett sparen (ein Sicherheitsrisiko weniger!), und klar reicht es für den Client völlig aus, die IP des Servers zu kennen samt dem Alias, aber wie verhindert man, dass User A unberechtigt auf den Datenbank-Alias von User B zugreift? Das scheint das Hauptproblem zu sein; der Trojaner ist m.E. nur vorgeschoben.