Una investigación determina que más de 24.000 aplicaciones que utilizan bases de datos de Firebase, la base de datos en nube de Google están filtrando «sin saberlo» información confidencial sobre sus usuarios y datos de la app.

La investigación, dirigida por Bob Diachenko de Security Discovery en asociación con Comparitech, es el resultado de un análisis de 515.735 aplicaciones para Android, que representan alrededor del 18 por ciento de todas las aplicaciones de la tienda Google Play. En el estudio solo se han contemplado aplicaciones para Android, pero Firebase es una herramienta multiplataforma que se utiliza en varios sistemas operativos y plataformas, por lo que habría mas aplicaciones y webs afectadas de otros sistemas.

Google conoce el problema de Firebase

Como en todo estudio, siempre se da un tiempo de margen desde que se obtienen los resultados hasta que se publican, para dar tiempo a la empresa a que parcheen esa vulnerabilidad. Desde Comparitech notificaron a Google el 22 de abril proporcionando un informe detallando de sus hallazgos.

Un portavoz de Google respondió a Comparitech, comentando lo siguiente:

«Firebase proporciona una serie de funciones que ayudan a nuestros desarrolladores a configurar sus implementaciones de forma segura. Proporcionamos notificaciones a los desarrolladores sobre posibles configuraciones erróneas en sus despliegues y ofrecemos recomendaciones para corregirlas». Estamos llegando a los desarrolladores afectados para ayudarles a resolver estos problemas».

Esto es debido a una mala configuración de la base de datos por parte de los desarrolladores. Según Comparitech, «El 4,8% de las aplicaciones para móviles que utilizan Google Firebase para almacenar los datos de los usuarios no están debidamente protegidas, lo que permite a cualquiera acceder a las bases de datos que contienen la información personal de los usuarios, a los tokens de acceso y a otros datos sin necesidad de una contraseña o de cualquier otro tipo de autenticación.».

Aplicaciones afectadas por categoría

Las aplicaciones vulnerables identificadas por Comparitech han sido instaladas 4.220 millones de veces por usuarios de Android y han expuesto la siguiente cantidad e datos entre otros:

  • Direcciones de correo electrónico: +7,000,000
  • Nombres de usuario: +4.400.000
  • Contraseñas: +1,000,000
  • Números de teléfono: +5,300,000
  • Nombres completos: +18,300,000
  • Mensajes de chat: +6,800,000
  • Datos de GPS: +6,200,000
  • Direcciones IP: +156,000
  • Direcciones de calle: +560,000

Otros datos iban desde los números de tarjetas de crédito hasta fotos de identificación emitidas por el gobierno.

Algunas incluso tenían permiso de escritura

De las 155.066 aplicaciones de Firebase analizadas, 11.730 tenían bases de datos expuestas públicamente. 9.014 de ellas incluso incluían permisos de escritura, que permitirían a un atacante añadir, modificar o eliminar datos del servidor, además de verlos y descargarlos. Entre otras cosas, los atacantes podrían:

  • Inyectar datos en una aplicación – permitiendo a los hackers añadir un titular falso a una aplicación de noticias popular, por ejemplo.
  • Permitir phishing y estafa a usuarios
  • Difundir el malware
  • Corromper la base de datos de la aplicación

Un informe de diciembre de 2019 muestra que Google borra estas URL de bases de datos vulnerables de sus resultados de búsqueda. Sin embargo, siguen siendo indexadas por otros motores de búsqueda como hemos podido comprobar.

Firebase seguridad

Firebase proporciona una sencilla API REST para acceder a los datos almacenados. Todos los datos se almacenan en formato JSON, por lo que se puede acceder a las bases de datos públicas haciendo una solicitud a la URL de la base de datos añadida por «.json», por ejemplo  «https://.firebaseio.com/.json». Si la base de datos se expone públicamente, esta solicitud devolverá el contenido completo de la base de datos. De lo contrario, devuelve un mensaje de «acceso denegado» o redirección a una URL indicada por el desarrollador.

Recomendaciones a desarrolladores y usuarios

Para los desarrolladores de aplicaciones, la mayoría de los errores de configuración de Firebase son totalmente evitables. Se recomienda a los desarrolladores que sigan las directrices de la documentación de la propia base de datos de Google.

Estas recomendaciones incluyen:

  • Implementar las reglas adecuadas de la base de datos Firebase
  • Impedir que los usuarios no autorizados accedan a información confidencial
  • No guardes las contraseñas en texto plano.

Para los usuarios:

  • No reutilices la misma contraseña en varias cuentas. Utilice un administrador de contraseñas para generar y almacenar contraseñas aleatorias fuertes
  • Usar sólo aplicaciones confiables con un alto número de revisiones e instalaciones
  • Tenga en cuenta qué información comparte con una solicitud
  • No comparta información personal sensible como la dirección de su casa, fotos de identificación del gobierno, números de seguro social, etc.
  • Apostar por alternativas libres, ya que su código es auditable por cualquiera y es mas sencillo y rápido corregir sus vulnerabilidades.

Personalmente, y como muchos sabréis si leéis mis artículos, siempre intento apostar por alternativas libres ya que suelen ser mas respetuosas con los datos de los usuarios y los fallos de seguridad son mas fáciles de detectar y solventar.

Si no quieres perderte nada de lo que publicamos y que te mantengamos informado, descubre como seguir a InstaTecno visitando este enlace.

5/5 (1 Review)

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies