Más de 4000 aplicaciones exponen datos sensibles de usuarios por incorrecta configuración Firebase

Más de 4.000 aplicaciones de Android que utilizan las bases de datos Firebase alojadas en la nube de Google están filtrando « sin saberlo » información confidencial sobre sus usuarios, incluidas sus direcciones de correo electrónico, nombres de usuario, contraseñas, números de teléfono, nombres completos, mensajes de chat y datos de ubicación.

La investigación, dirigida por Bob Diachenko de Security Discovery en asociación con Comparitech, es el resultado de un análisis de 15,735 aplicaciones de Android, que comprenden aproximadamente el 18 por ciento de todas las aplicaciones en la tienda Google Play.

«El 4,8 por ciento de las aplicaciones móviles que usan Google Firebase para almacenar datos de los usuarios no están protegidas adecuadamente, lo que permite a cualquiera acceder a bases de datos que contienen información personal de los usuarios, tokens de acceso y otros datos sin una contraseña o cualquier otra autenticación», dijo Comparitech .

Adquirido por Google en 2014, Firebase es una popular plataforma de desarrollo de aplicaciones móviles que ofrece una variedad de herramientas para ayudar a los desarrolladores de aplicaciones de terceros a crear aplicaciones, almacenar de forma segura datos y archivos de aplicaciones, solucionar problemas e incluso interactuar con los usuarios a través de mensajes en la aplicación caracteristicas.

Con las aplicaciones vulnerables en cuestión, que abarcan principalmente categorías de juegos, educación, entretenimiento y negocios, instaladas 4.22 mil millones de veces por usuarios de Android, Comparitech dijo: «hay muchas posibilidades de que la privacidad de un usuario de Android se haya visto comprometida por al menos una aplicación».

Dado que Firebase es una herramienta multiplataforma, los investigadores también advirtieron que es probable que las configuraciones incorrectas también afecten a las aplicaciones web y iOS.

El contenido completo de la base de datos, que abarca 4.282 aplicaciones, incluye:

Datos expuestos

En el informe mencionado anteriormente, finalizan con un resumen de toda la información que han podido recopilar durante la investigación:

Direcciones de correo electrónico: más de 7,000,000

Nombres de usuario: 4,400,000+

Contraseñas: 1,000,000+

Números de teléfono: 5,300,000+

Nombres completos: 18,300,000+

Mensajes de chat: más de 6,800,000

Datos GPS: 6,200,000+

Direcciones IP: más de 156,000

Direcciones: 560,000+

Mala configuración

El problema de fondo no está en Firebase, sino en una mala configuración de permisos por parte de los desarrolladores de la aplicación, y que permite descargar la totalidad de los datos, tan solo anexando “.json” a la URL: ejemplo.firebase.io/.json. Es más, algunas de las analizadas tenían habilitada la escritura, permitiendo la inserción de datos o corromper la información allí almacenada.

Localizar estas direcciones no resulta excesivamente complicado. Si bien Google filtra desde hace un tiempo esos resultados en su motor de búsqueda, no ocurre lo mismo con otros servicios, como por ejemplo Bing, tal y como puede comprobarse al realizar la siguiente búsqueda en ambos buscadores: site:firebaseio.com

Además de 155,066 aplicaciones que tienen bases de datos expuestas públicamente, los investigadores encontraron 9,014 aplicaciones con permisos de escritura, lo que potencialmente permite a un atacante inyectar datos maliciosos y corromper la base de datos, e incluso difundir malware.

Para complicar aún más el asunto, la indexación de las URL de la base de datos de Firebase por motores de búsqueda como Bing, que expone los puntos finales vulnerables para cualquier persona en Internet. Sin embargo, una búsqueda en Google no arroja resultados.

Después de que Google fue notificado de los hallazgos el 22 de abril, el gigante de las búsquedas dijo que se está comunicando con los desarrolladores afectados para solucionar los problemas.

Esta no es la primera vez que las bases de datos expuestas de Firebase han filtrado información personal. Investigadores de la firma de seguridad móvil Appthority encontraron un caso similar hace dos años, lo que resultó en la exposición de 100 millones de registros de datos.

Dejar una base de datos expuesta sin autenticación es una invitación abierta para los malos actores. Por lo tanto, se recomienda que los desarrolladores de aplicaciones se adhieran a las reglas de la base de datos de Firebase para proteger los datos y evitar el acceso no autorizado.

Se insta a los usuarios, por su parte, a atenerse solo a las aplicaciones confiables y tener cuidado con la información que se comparte con una aplicación.

FUENTE: thehackernews

Comments are closed.