Por si no lo sabías, Firebase es una plataforma para el desarrollo de aplicaciones web y aplicaciones móviles creada por Google. El 30 por ciento de todas las aplicaciones en Google Play Store utilizan esta herramienta, por ello se trata de la solución de almacenamiento más popular para aplicaciones de Android. Y en esta oportunidad, se ha revelado que 24000 apps de Android han filtrado datos por una mala configuración en Firebase.
El 4.8% de las apps que usan Google Firebase para almacenar los datos de sus usuarios no están protegidas adecuadamente. Debido a esto, cualquier persona puede acceder a estas bases de datos que contienen información personal de muchísimos usuarios.
Firebase filtra datos por una mala configuración
El equipo de seguridad de Comparitech examinó 515735 aplicaciones de Android, aproximadamente el 18% de todas las aplicaciones de Google Play. En esa muestra, encontraron más de 4282 aplicaciones que filtran información confidencial. Si extrapolamos las cifras, se estima que el 0,83% de todas las apps filtran datos confidenciales a través de Firebase. Estamos hablando de unas 24000 aplicaciones en total.
Las configuraciones erróneas en las bases de datos de Google Firebase permiten que cualquier persona sin autorización pueda acceder fácilmente a los datos personales de los usuarios en miles de aplicaciones. Las aplicaciones vulnerables identificadas han sido instaladas más de cuatro mil millones de veces por los usuarios de Android y exponen los siguientes datos personales:
- Direcciones de correo electrónico: más de 7000000.
- Nombres de usuario: más de 4400000.
- Contraseñas: más de 1000000.
- Números de teléfono: más de 5300000.
- Nombre completo: más de 18300000.
- Mensajes de chat: más de 6800000.
- Datos GPS: más de 6200000.
- Direcciones IP: más de 156000.
- Direcciones: más de 560000.
Por otro lado, es necesario destacar que también se revelaron datos de números de tarjetas de crédito y hasta fotos de identificación emitidas por el gobierno. Sin duda alguna, se trata de una situación bastante delicada para todo el ecosistema Android.
Las bases de datos más expuestas dieron a los atacantes acceso de escritura. Esto les permite agregar, modificar o eliminar datos en el servidor, además de verlos y descargarlos. El acceso de escritura podría permitir que un atacante:
- Inyecte datos en una aplicación, para agregar un título falso a una aplicación de noticias, por ejemplo.
- Haga phishing y estafas.
- Difunda malware.
- Dañe la base de datos de la aplicación.
El equipo de seguridad de Comparitech le envió un informe a Google detallando sus hallazgos y la gigantesca empresa de tecnología respondió que Firebase proporciona una serie de características que ayudan a que los desarrolladores puedan configurar sus implementaciones de forma segura. Además, el portavoz de Google asegura que facilitan notificaciones a los desarrolladores sobre posibles configuraciones erróneas en sus implementaciones y que ofrecen recomendaciones para corregirlas. También dejó claro que Google se está comunicando con los desarrolladores afectados para ayudarlos a abordar estos problemas.
Y a ti, ¿qué te parece toda esta situación?
