Firebase: un fallo expone los datos personales de más de 24.000 apps de Android

Los problemas de seguridad relacionados con las apps de Android son, de manera recurrente, una preocupación para Google. Y si, como en este caso, Firebase también se ve implicado en los mismos, la preocupación se eleva al cuadrado. Una investigación dirigida por Bob Diachenko, de Security Discover,y en asociación con Comparitech, arroja como resultado que unas 24.000 apps podrían verse afectadas por un problema del que ya han informado al gigante del buscador.

Para realizar la prueba se tomaron 515.735 apps de Android, lo que supone aproximadamente el 18 por ciento de todas las aplicaciones en la tienda Google Play. Y tras terminar la pruebas, se determinó que 4.282 de ellas se veían afectadas por el problema de seguridad, es decir, cerca de un uno por ciento (0,83%). Extrapolando este porcentaje al total de apps disponibles en la tienda, se puede estimar que unas 24.000 aplicaciones de Android se ven afectadas por el problema de seguridad de Firebase.

Adquirida por Google en 2014, Firebase es una popular plataforma de desarrollo de aplicaciones móviles que ofrece una gran variedad de herramientas para ayudar a los desarrolladores de aplicaciones de terceros a crear sus apps, almacenar de forma segura datos y archivos, solucionar problemas e incluso interactuar con los usuarios a través de mensajes en la aplicación características. Uno de los puntos clave del servicio, y el comprometido en este caso, es la función de base de datos.

Tras la investigación sobre las 4.282 apps comprometidas, los investigadores fueron capaces de obtener:

  • Direcciones de correo electrónico: 7.000.000
  • Nombres de usuario: 4.400.000
  • Contraseñas: 1.000.000
  • Números de teléfono: 5.300.000
  • Nombres completos: 18.300.000
  • Mensajes de chat: 6.800.000
  • Datos GPS: 6.200.000
  • Direcciones IP: 156.000
  • Direcciones: 560.000

En todos los casos los números se han redondeado hacia abajo, pero para facilitar la lectura he preferido omitir el «Más de» antes de cada número.

Para encontrar bases de datos expuestas, el equipo de seguridad buscó en los recursos de cada aplicación cadenas de texto que indicaran que se estaba utilizando Firebase. Este servicio proporciona una API REST para acceder a los datos almacenados. Todos los datos se almacenan en formato JSON, por lo que se puede acceder a las bases de datos públicas haciendo una solicitud a la URL de la base de datos añadiendo .json, es decir: https://appafectada.com/.json.

Si la base de datos está expuesta públicamente, esta solicitud devolverá el contenido completo de la base de datos. De lo contrario, devuelve un mensaje de  denegación del acceso al recurso. Cuando las bases de datos eran pequeñas, los investigadores las descargaron en su totalidad, mientras que para las más grandes, realizaron búsquedas por palabras clave para realizar descargas parciales.

Tras finalizar la investigación, los responsables notificaron a Google sobre el problema, el 22 de abril y procedieron a destruir toda la información obtenida de Firebase durante la misma. Y, por supuesto se pone todo el énfasis del mundo en que los desarrolladores de apps y servicios que emplean Firebase revisen la configuración de seguridad de sus bases de datos, para evitar los accesos no autorizados. Y es que, en realidad, esto es algo que se puede solucionar simplemente definiendo una política de seguridad adecuada.

La entrada Firebase: un fallo expone los datos personales de más de 24.000 apps de Android es original de MuySeguridad. Seguridad informática.