Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / Más de 4000 aplicaciones exponen datos sensibles de usuarios por incorrecta configuración Firebase

Más de 4000 aplicaciones exponen datos sensibles de usuarios por incorrecta configuración Firebase

Por Leave a Comment

Al menos 4000 aplicaciones que utilizan la base de datos Firebase están, inadvertidamente, exponiendo información sensible de sus usuarios, como direcciones de email, contraseñas, geolocalización y conversaciones.

Firebase es una plataforma de Google para el desarrollo de aplicaciones web y móvil, e incluye, entre otros, servicios de base de datos, autenticación de usuarios, notificaciones, etc.

La investigación, realizada por Comparitech, es el resultado del análisis de 515.753 aplicaciones Android, lo que representa un 18% de las aplicaciones disponibles en la tienda Google Play.

En esa muestra, se han encontrado más de 4000 aplicaciones que filtran información sensible de usuarios que, extrapolando al total de aplicaciones publicadas, representarían unas 24.000 en total.

Tras ser notificado el 22 de abril, desde Google indicaron que procederían a avisar a los desarrolladores afectados, instandoles a securizar adecuadamente sus bases de datos.

Mala configuración

El problema de fondo no está en Firebase, sino en una mala configuración de permisos por parte de los desarrolladores de la aplicación, y que permite descargar la totalidad de los datos, tan solo anexando “.json” a la URL: ejemplo.firebase.io/.json. Es más, algunas de las analizadas tenían habilitada la escritura, permitiendo la inserción de datos o corromper la información allí almacenada.

Localizar estas direcciones no resulta excesivamente complicado. Si bien Google filtra desde hace un tiempo esos resultados en su motor de búsqueda, no ocurre lo mismo con otros servicios, como por ejemplo Bing, tal y como puede comprobarse al realizar la siguiente búsqueda en ambos buscadores: site:firebaseio.com

Datos expuestos

En el informe mencionado anteriormente, finalizan con un resumen de toda la información que han podido recopilar durante la investigación:

  • Dirección de email: 7.000.000
  • Usuarios: 4.400.000
  • Contraseñas: 1.000.000
  • Números de teléfono: 5.300.000
  • Nombres y apellidos: 18.300.000
  • Mensajes de chat: 6.800.000
  • Información de GPS: 6.200.000
  • Direcciónes IP: 156.000
  • Direcciones físicas: 560.000

Referencias

https://www.comparitech.com/blog/information-security/firebase-misconfiguration-report/
https://thehackernews.com/2020/05/android-firebase-database-security.html

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.