Miles de aplicaciones móviles de iOS y Android están exponiendo más de 113 GB de datos a través de más de 2.271 bases de datos de Firebase mal configuradas, según un informe publicado esta semana por la firma de seguridad móvil Appthority.
Firebase es una oferta de backend-as-a-Service de Google que contiene una amplia colección de servicios que los desarrolladores móviles pueden usar en la creación de aplicaciones móviles y basadas en la web.
El servicio es increíblemente popular entre los principales desarrolladores de Android, ya que proporciona mensajería en la nube, notificaciones push, base de datos, análisis, publicidad y un montón de otros backends y API que pueden conectar fácilmente a sus proyectos y beneficiarse de la gran escala y alta tecnología de Google. sistemas de rendimiento dentro de sus aplicaciones.
Appthority escaneó más de 2,7 millones de aplicaciones móviles
A partir de enero de 2018, los investigadores de Appthority escanearon aplicaciones móviles que usaban sistemas Firebase para almacenar datos de usuario, analizando el patrón de comunicaciones de la aplicación para las solicitudes realizadas a los dominios de Firebase.
Los investigadores buscaron en particular aplicaciones que se conectaran a URL JSON basadas en Firebase que, cuando se accede a ellas directamente, permitían que cualquier tercero no autorizado pudiera ver todos los datos de la aplicación.
Después de escanear más de 2.7 millones de aplicaciones de iOS y Android, los investigadores dijeron que identificaron 28.502 aplicaciones móviles (27.227 Android y 1.275 iOS) que conectaban y almacenaban datos dentro de los backends de Firebase.
De estas, 3,046 aplicaciones (2,446 Android y 600 iOS) guardaron datos dentro de 2,271 bases de datos de Firebase mal configuradas que permitían que cualquiera pudiera ver su contenido.
En total, las bases de datos expusieron más de 100 millones de registros de datos de usuarios. La información filtrada pesaba más de 113 GB e incluía datos como:
⊛ 2,6 millones de contraseñas de texto sin formato e ID de usuario
⊛ Más de 4 millones de registros de PHI (información médica protegida) (mensajes de chat y detalles de recetas)
⊛ 25 millones de registros de ubicación GPS
⊛ 50 mil registros financieros que incluyen transacciones bancarias, de pago y Bitcoin
⊛ Más de 4,5 millones de tokens de usuario de Facebook, LinkedIn, Firebase y almacenes de datos corporativos
Appthority dice que solo las versiones de Android de las aplicaciones con fugas se han descargado más de 620 millones de veces desde la tienda oficial de Google Play, lo que sugiere que algunas aplicaciones bastante populares se estaban ejecutando sobre estos backends con fugas.
Google notificó de las aplicaciones y servidores con fugas
La firma de seguridad también dijo que notificó a Google sobre este problema antes de publicar su informe y proporcionó una lista de las aplicaciones afectadas y los servidores de base de datos de Firebase.
Esta no es la primera vez que Appthority descubre que los servidores backend de la aplicación están exponiendo datos críticos del usuario. El año pasado, la compañía publicó el informe HospitalGown en el que reveló que más de 1,000 aplicaciones expusieron más de 43 TB de datos de usuario a través de servidores backend MongoDB, Redis, CouchDB, Elasticsearch y MySQL.
También el año pasado, los investigadores de Appthority descubrieron que decenas de desarrolladores habían dejado credenciales de API en cientos de aplicaciones creadas alrededor del servicio Twilio, exponiendo las grabaciones de llamadas privadas y los mensajes de texto SMS de los clientes.
