Más de 4.000 aplicaciones de Android que utilizan las bases de datos Firebase alojadas en la nube de Google están filtrando «sin saberlo» información confidencial sobre sus usuarios, incluidas sus direcciones de correo electrónico, nombres de usuario, contraseñas, números de teléfono, nombres completos, mensajes de chat y datos de ubicación.

La investigación, dirigida por Bob Diachenko de Security Discovery en colaboración con Comparitech, es el resultado de un análisis de 15.735 aplicaciones de Android, que comprenden alrededor del 18 por ciento de todas las aplicaciones en la tienda Google Play.

«El 4,8 por ciento de las aplicaciones móviles que usan Google Firebase para almacenar datos de usuarios no están debidamente protegidas, lo que permite que cualquier persona acceda a bases de datos que contienen información personal de usuarios, tokens de acceso y otros datos sin contraseña ni ninguna otra autenticación», dijo Comparitech.

Adquirido por Google en 2014, Firebase es una popular plataforma de desarrollo de aplicaciones móviles que ofrece una variedad de herramientas para ayudar a los desarrolladores de aplicaciones de terceros a crear aplicaciones, almacenar datos y archivos de aplicaciones de forma segura, solucionar problemas e incluso interactuar con los usuarios a través de mensajes dentro de la aplicación. caracteristicas.

Con las aplicaciones vulnerables en cuestión, que en su mayoría abarcan categorías de juegos, educación, entretenimiento y negocios, instaladas 4.220 millones de veces por usuarios de Android, Comparitech dijo: «las posibilidades son altas de que la privacidad de un usuario de Android se haya visto comprometida por al menos una aplicación».

Dado que Firebase es una herramienta multiplataforma, los investigadores también advirtieron que es probable que las configuraciones incorrectas también afecten a iOS y las aplicaciones web.

El contenido completo de la base de datos, que abarca 4282 aplicaciones, incluye:

• Direcciones de correo electrónico: 7,000,000+
• Nombres de usuario: 4,400,000+
• Contraseñas: 1,000,000+
• Números de teléfono: 5,300,000+
• Nombres completos: 18,300,000+
• Mensajes de chat: 6,800,000+
• Datos GPS: 6,200,000+
• Direcciones IP: 156,000+
• Direcciones de calles: 560,000+

Diachenko encontró las bases de datos expuestas utilizando la conocida API REST de Firebase que se utiliza para acceder a los datos almacenados en instancias desprotegidas, recuperadas en formato JSON, simplemente agregando el sufijo «/.json» a la URL de una base de datos (por ejemplo, «https: //~project_id~.firebaseio. com/.json»).

Además de 155 066 aplicaciones que tenían bases de datos expuestas públicamente, los investigadores encontraron 9014 aplicaciones con permisos de escritura, lo que podría permitir que un atacante inyecte datos maliciosos y corrompa la base de datos, e incluso propague malware.

Para complicar aún más el asunto, está la indexación de las URL de la base de datos de Firebase por parte de motores de búsqueda como Bing, que expone los puntos finales vulnerables para cualquier persona en Internet. Una búsqueda en Google, sin embargo, no arroja resultados.

Después de que Google fuera notificado de los hallazgos el 22 de abril, el gigante de las búsquedas dijo que se está comunicando con los desarrolladores afectados para solucionar los problemas.

Esta no es la primera vez que las bases de datos expuestas de Firebase filtran información personal. Investigadores de la firma de seguridad móvil Appthority encontraron un caso similar hace dos años, lo que resultó en la exposición de 100 millones de registros de datos.

Dejar una base de datos expuesta sin ninguna autenticación es una invitación abierta para los malos actores. Por lo tanto, se recomienda que los desarrolladores de aplicaciones se adhieran a las reglas de la base de datos de Firebase para proteger los datos y evitar el acceso no autorizado.

Se insta a los usuarios, por su parte, a ceñirse únicamente a las aplicaciones de confianza y tener cuidado con la información que se comparte con una aplicación.