Más de 4000 aplicaciones exponen datos sensibles de usuarios por incorrecta configuración Firebase

Al menos 4000 aplicaciones que utilizan la base de datos Firebase están, inadvertidamente, exponiendo información sensible de sus usuarios, como direcciones de email, contraseñas, geolocalización y conversaciones.

Firebase es una plataforma de Google para el desarrollo de aplicaciones web y móvil, e incluye, entre otros, servicios de base de datos, autenticación de usuarios, notificaciones, etc.

La investigación, realizada por Comparitech, es el resultado del análisis de 515.753 aplicaciones Android, lo que representa un 18% de las aplicaciones disponibles en la tienda Google Play.

En esa muestra, se han encontrado más de 4000 aplicaciones que filtran información sensible de usuarios que, extrapolando al total de aplicaciones publicadas, representarían unas 24.000 en total.

Tras ser notificado el 22 de abril, desde Google indicaron que procederían a avisar a los desarrolladores afectados, instandoles a securizar adecuadamente sus bases de datos.

Mala configuración

El problema de fondo no está en Firebase, sino en una mala configuración de permisos por parte de los desarrolladores de la aplicación, y que permite descargar la totalidad de los datos, tan solo anexando “.json” a la URL: ejemplo.firebase.io/.json. Es más, algunas de las analizadas tenían habilitada la escritura, permitiendo la inserción de datos o corromper la información allí almacenada.

Localizar estas direcciones no resulta excesivamente complicado. Si bien Google filtra desde hace un tiempo esos resultados en su motor de búsqueda, no ocurre lo mismo con otros servicios, como por ejemplo Bing, tal y como puede comprobarse al realizar la siguiente búsqueda en ambos buscadores: site:firebaseio.com

Datos expuestos

En el informe mencionado anteriormente, finalizan con un resumen de toda la información que han podido recopilar durante la investigación:

  • Dirección de email: 7.000.000
  • Usuarios: 4.400.000
  • Contraseñas: 1.000.000
  • Números de teléfono: 5.300.000
  • Nombres y apellidos: 18.300.000
  • Mensajes de chat: 6.800.000
  • Información de GPS: 6.200.000
  • Direcciónes IP: 156.000
  • Direcciones físicas: 560.000

Referencias

https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/
https://thehackernews.com/2020/05/android-firebase-database-security.html

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.