App populares con 142,5 millones de instalaciones filtran datos de los usuarios

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad de CyberNews encontraron que las 14 principales aplicaciones de Android, descargadas por más de 140 millones de personas en total, están filtrando datos de usuario debido a configuraciones incorrectas de Firebase. Los datos expuestos potencialmente incluyen nombres de usuarios, correos electrónicos, nombres de usuario y más.

Si tiene una aplicación de Android instalada en su teléfono inteligente, es muy probable que esté usando Firebase. Con una base mensual activa de más de 2,5 millones de aplicaciones, Firebase es una plataforma de desarrollo de aplicaciones móviles que ofrece una multitud de funciones útiles, que incluyen análisis, alojamiento y almacenamiento en la nube en tiempo real.

En 2014, la plataforma fue adquirida por Google y desde entonces se ha convertido en una de las soluciones de almacenamiento de datos en tiempo real más populares del mercado para aplicaciones de Android. Con Firebase, los desarrolladores pueden almacenar convenientemente tokens de autenticación, credenciales de usuario, datos personales y otros tipos de información relacionada con la aplicación en la nube.

A la luz de esto, en CyberNews se decidió analizar más de mil aplicaciones principales en Google Play y ver cuántas almacenaban sus datos en bases de datos en tiempo real de Firebase de manera insegura.

Lo que el equipo de Investigaciones descubrió fue revelador: 14 de las principales aplicaciones de Android con 142,5 millones de instalaciones sufrían de configuraciones incorrectas de Firebase, lo que permitió a cualquier otra persona que conozca la URL correcta, acceder a sus bases de datos en tiempo real y a toda la información del usuario almacenada sin ningún tipo de autenticación.

Aunque solo se miró las mejores aplicaciones de Android en la tienda Google Play, Firebase es independiente de la plataforma. Esto significa que las aplicaciones de iOS que usan Firebase también pueden verse afectadas por estas configuraciones incorrectas.

El 14 de septiembre, los investigadores de CyberNews informaron sus hallazgos a Google y les pidieron que ayudaran a los desarrolladores de las aplicaciones expuestas a proteger sus bases de datos en tiempo real.

Como resultado, nueve de las 14 aplicaciones populares de Android, siguen filtrando los datos de más de 30,5 millones de usuarios.

Cómo se recopila y analizan los datos

Para llevar a cabo esta investigación, el equipo de Investigaciones analizó las 1100 aplicaciones más populares en 55 categorías diferentes en la tienda Google Play. Para las métricas de popularidad, los investigadores utilizaron los 'TOP {CATEGORY}' proporcionadas por Google en Play Store. Todas las categorías y aplicaciones analizadas fueron accesibles para los usuarios de Google Play en los EE. UU.

Se analizaron las aplicaciones descompilando y buscando en cada aplicación rastros de su dirección predeterminada de Firebase. Si se encontró la dirección, se verificaban las configuraciones incorrectas de los permisos de la base de datos al intentar acceder a ella utilizando la API REST proporcionada por Google.

Todas las solicitudes a las bases de datos se realizaron con el argumento "Shallow = True". Esto permitió ver los nombres de las tablas almacenadas en las bases de datos.

Nota: Durante el curso de la investigación, los investigadores no tuvieron acceso a ninguna base de datos de Firebase debido a las posibles implicaciones éticas de acceder a bases de datos privada sin autorización.

Expuestos por las principales aplicaciones de Android

Los hallazgos del equipo muestran que las 14 principales aplicaciones de Android, descargadas colectivamente por al menos 142.5 millones de usuarios, tienen sus bases de datos en tiempo real de Firebase inseguras, dejando sus datos a la vista.

A continuación, se muestra un ejemplo de una aplicación de horóscopo, instalada por al menos 500.000 usuarios, cuya base de datos expuesta en tiempo real contiene tablas tituladas "chats" y "usuarios":

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según el investigador de CyberNews, Martynas Vareikis, esto indica que la aplicación está filtrando no solo datos del usuario, sino también sus mensajes privados para que cualquiera pueda acceder y hacer lo que quiera.

Otros ejemplos incluyen Universal TV Remote Control, posiblemente la aplicación de control remoto de TV más popular con más de 100 millones de descargas en Google Play, y Remote para Roku: Codematics, que ha sido instalado por más de un millón de usuarios de Android. Ambas aplicaciones sufrieron errores de configuración de acceso a Firebase, lo que podría provocar la filtración de datos del usuario como resultado.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lamentablemente, los juegos populares de Android tampoco están a salvo de las configuraciones incorrectas de Firebase.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hybrid Warrior: Dungeon of the Overlord, un juego de rol para dispositivos móviles que juegan más de un millón de usuarios, recopila sus direcciones de correo electrónico y otra información personal que le han proporcionado a Google, como nombres, fechas de nacimiento, números de teléfono y más.

También estaba potencialmente filtrando todos esos datos a cualquier persona con la URL correcta. Con tal información en la mano, los actores de amenazas podrían haber organizado ataques de phishing contra cualquier usuario cuyos datos hayan sido expuestos por el juego.

Afortunadamente, los desarrolladores de estas aplicaciones conectaron rápidamente sus bases de datos en tiempo real con fugas después de que nuestro equipo de Investigaciones les advirtiera sobre las configuraciones incorrectas.

Dicho esto, tener su información personal expuesta a los actores de amenazas por su juego favorito es lo suficientemente aterrador. Pero filtrar los datos de sus hijos y su paradero a posibles intrusos puede ser mucho más peligroso.

Find My Kids: Child Cell Phone Location Tracker, una aplicación de rastreo de ubicación descargada por al menos 10 millones de padres, dejó su base de datos en tiempo real de Firebase expuesta durante un período de tiempo desconocido.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La aplicación le permite rastrear el paradero de su hijo, las estadísticas de uso de su teléfono, escuchar una transmisión de audio en vivo desde el micrófono de su teléfono y llamarlo cuando está silenciado, todo en tiempo real. Una aplicación de este tipo que deja su base de datos en tiempo real a la vista podría tener consecuencias desastrosas para los niños.

Después de que los investigadores se comunicaron con el desarrollador de Find My Kids, GEO TRACK TECHNOLOGIES INC, sobre su base de datos expuesta, un representante de la empresa nos aseguró que "no usan [una] base de datos en tiempo real de Firebase en [su] producto, en absoluto".

"Supongo que esta función de Firebase se habilitó para realizar pruebas hace algún tiempo y no almacenamos ningún dato privado en ella. Ahora hemos desactivado la base de datos en tiempo real de Firebase por completo ", declaró a CyberNews un miembro del equipo de GEO TRACK TECHNOLOGIES INC.

Si bien es imposible determinar la veracidad de la afirmación de que el equipo no usó Firebase para almacenar los datos de los usuarios, ahora el desarrollador solucionó el problema.

Encontrar errores de configuración básicos de Firebase en aplicaciones de Android de gran éxito es algo sorprendente. Pensarías que las aplicaciones que encabezan las listas de Google Play en sus respectivas categorías al menos habrían implementado medidas de seguridad básicas. Después de todo, las bases de datos en tiempo real de Firebase están configuradas sin permisos de acceso de forma predeterminada, según Ray Kelly, ingeniero de seguridad principal de NTT Application Security.

"Depende del desarrollador agregar permisos según sea necesario", dijo Kelly a CyberNews. "Entonces, ¿por qué un desarrollador decidiría abrir la base de datos por completo? Porque es fácil. A menudo, los desarrolladores tomarán el camino más fácil mientras codifican sus aplicaciones. Sin duda, abrir la base de datos acelerará su proceso ".

Para los desarrolladores de aplicaciones que son menos conscientes de la seguridad, tener en cuenta los permisos de acceso requiere tiempo y comprensión, dice Kelly, y agrega que "desafortunadamente, esta rara vez es la prioridad número uno cuando se trata de diseño e implementación de aplicaciones".

Sin embargo, al final, son principalmente los usuarios los que soportan la peor parte del daño de tener su información expuesta a los actores de amenazas.

Google hace la vista gorda mientras se siguen filtrando datos de más de 30 millones de usuarios

En total, el equipo de Investigaciones encontró tablas de usuarios en las 14 principales aplicaciones de Android con 142,5 millones de instalaciones colectivas. Afortunadamente, las cuatro aplicaciones que se mencionaron  anteriormente han solucionado sus problemas y ya no tienen sus bases de datos.

Sin embargo, nueve de los desarrolladores de aplicaciones no han solucionado todos sus errores de configuración ni han respondido a nuestras repetidas advertencias.

Para abordar la situación, primero nos comunicamos con Google el 14 de septiembre y les pedimos que ayudaran a los desarrolladores a proteger sus bases de datos en tiempo real de Firebase.

Habiendo recibido una respuesta automática sin seguimiento, hicimos otro intento de ponernos en contacto con Google a través de su oficina de prensa tres días después. El resultado final fue idéntico: un correo electrónico de respuesta automático sin ningún seguimiento ni explicación.

No hace falta mencionar que, sin la participación de Google, las filtraciones de esas aplicaciones no se han solucionado.

Fuente:
Cyber News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta