Más de 4000 aplicaciones exponen datos sensibles de usuarios por incorrecta configuración Firebase

Al menos 4000 aplicaciones que utilizan la base de datos Firebase están, inadvertidamente, exponiendo información sensible de sus usuarios, como direcciones de email, contraseñas, geolocalización y conversaciones.

Firebase es una plataforma de Google para el desarrollo de aplicaciones web y móvil, e incluye, entre otros, servicios de base de datos, autenticación de usuarios, notificaciones, etc.

La investigación, realizada por Comparitech, es el resultado del análisis de 515.753 aplicaciones Android, lo que representa un 18% de las aplicaciones disponibles en la tienda Google Play.

En esa muestra, se han encontrado más de 4000 aplicaciones que filtran información sensible de usuarios que, extrapolando al total de aplicaciones publicadas, representarían unas 24.000 en total.

Tras ser notificado el 22 de abril, desde Google indicaron que procederían a avisar a los desarrolladores afectados, instandoles a securizar adecuadamente sus bases de datos.

Mala configuración

El problema de fondo no está en Firebase, sino en una mala configuración de permisos por parte de los desarrolladores de la aplicación, y que permite descargar la totalidad de los datos, tan solo anexando “.json” a la URL: ejemplo.firebase.io/.json. Es más, algunas de las analizadas tenían habilitada la escritura, permitiendo la inserción de datos o corromper la información allí almacenada.

Localizar estas direcciones no resulta excesivamente complicado. Si bien Google filtra desde hace un tiempo esos resultados en su motor de búsqueda, no ocurre lo mismo con otros servicios, como por ejemplo Bing, tal y como puede comprobarse al realizar la siguiente búsqueda en ambos buscadores: site:firebaseio.com

Datos expuestos

En el informe mencionado anteriormente, finalizan con un resumen de toda la información que han podido recopilar durante la investigación:

Dirección de email: 7.000.000
Usuarios: 4.400.000
Contraseñas: 1.000.000
Números de teléfono: 5.300.000
Nombres y apellidos: 18.300.000
Mensajes de chat: 6.800.000
Información de GPS: 6.200.000
Direcciónes IP: 156.000
Direcciones físicas: 560.000

Referencias

https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/
https://thehackernews.com/2020/05/android-firebase-database-security.html

Acerca de Julián J. Menéndez

Ha escrito 49 publicaciones.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.