Firebase: por mala configuración están filtrando datos de los usuarios

Más de 4.000 aplicaciones de Android que utilizan las bases de datos Firebase alojadas en la nube de Google están filtrando `` sin saberlo '' información confidencial sobre sus usuarios, incluidas sus direcciones de correo electrónico, nombres de usuario, contraseñas, números de teléfono, nombres completos, mensajes de chat y datos de ubicación.

La investigación, dirigida por Bob Diachenko de Security Discovery en asociación con Comparitech, es el resultado de un análisis de 15,735 aplicaciones de Android, que comprenden aproximadamente el 18 por ciento de todas las aplicaciones en la tienda Google Play.

"El 4,8 por ciento de las aplicaciones móviles que usan Google Firebase para almacenar datos de los usuarios no están protegidas adecuadamente, lo que permite a cualquier persona acceder a bases de datos que contienen información personal de los usuarios, tokens de acceso y otros datos sin una contraseña o cualquier otra autenticación", dijo Comparitech .

Adquirido por Google en 2014, Firebase es una popular plataforma de desarrollo de aplicaciones móviles que ofrece una variedad de herramientas para ayudar a los desarrolladores de aplicaciones de terceros a crear aplicaciones, almacenar de forma segura datos y archivos de aplicaciones, solucionar problemas e incluso interactuar con los usuarios a través de mensajes en la aplicación caracteristicas.

Con las aplicaciones vulnerables en cuestión, que abarcan principalmente categorías de juegos, educación, entretenimiento y negocios, instaladas 4.22 mil millones de veces por usuarios de Android, Comparitech dijo: "hay muchas posibilidades de que la privacidad de un usuario de Android se haya visto comprometida por al menos una aplicación".

Dado que Firebase es una herramienta multiplataforma, los investigadores también advirtieron que es probable que las configuraciones incorrectas también afecten a las aplicaciones web y iOS.

El contenido completo de la base de datos, que abarca 4.282 aplicaciones, incluye:

- Direcciones de correo electrónico: más de 7,000,000
- Nombres de usuario: 4,400,000+
- Contraseñas: 1,000,000+
- Números de teléfono: 5,300,000+
- Nombres completos: 18,300,000+
- Mensajes de chat: más de 6,800,000
- Datos GPS: 6,200,000+
- Direcciones IP: más de 156,000
- Direcciones: 560,000+

Diachenko encontró las bases de datos expuestas utilizando la API REST de Firebase conocida que se utiliza para acceder a los datos almacenados en instancias desprotegidas, recuperados en formato JSON, simplemente con el sufijo "/.json" a una URL de la base de datos (por ejemplo, "https: //~project_id~.firebaseio. com / .json ").


Además de 155,066 aplicaciones que tienen bases de datos expuestas públicamente, los investigadores encontraron 9,014 aplicaciones con permisos de escritura, lo que potencialmente permite a un atacante inyectar datos maliciosos y corromper la base de datos, e incluso difundir malware.

Para complicar aún más el asunto, la indexación de las URL de la base de datos de Firebase por motores de búsqueda como Bing, que expone los puntos finales vulnerables para cualquier persona en Internet. Sin embargo, una búsqueda en Google no arroja resultados.

Después de que Google fue notificado de los hallazgos el 22 de abril, el gigante de las búsquedas dijo que se está comunicando con los desarrolladores afectados para solucionar los problemas.

Esta no es la primera vez que las bases de datos expuestas de Firebase han filtrado información personal. Investigadores de la firma de seguridad móvil Appthority encontraron un caso similar hace dos años, lo que resultó en la exposición de 100 millones de registros de datos.

Dejar una base de datos expuesta sin autenticación es una invitación abierta para los malos actores. Por lo tanto, se recomienda que los desarrolladores de aplicaciones se adhieran a las reglas de la base de datos de Firebase para proteger los datos y evitar el acceso no autorizado.

Se insta a los usuarios, por su parte, a atenerse solo a las aplicaciones confiables y tener cuidado con la información que se comparte con una aplicación.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta