Miles de apps en iOS y Android filtran datos a través de Firebase

Un informe generado y distribuido por la firma de seguridad móvil Appthority, ha revelado que miles de aplicaciones iOS y Android están dejando al descubierto una gran cantidad de datos de los usuarios a través de bases de datos de Firebase mal configuradas. No es la primera vez que Appthority encuentra bases de datos mal configuradas en la nube. La compañía de seguridad encontró en su día información crítica expuesta en servicios como MongoDB, CouchDB, Redis, MySQL y Twilio.

En enero de este año, Appthority comenzó a escanear un gran número de apps para móvil que hacían uso de los sistemas de Firebase para almacenar datos, analizando los patrones de comunicación de las aplicaciones con los dominios de Firebase. Tras encontrar el problema, se reportó que el origen del mismo estaba causado por los en wl proceso de desarrollo de apps, pues los desarrolladores tendían a optar por no exigir la autenticación para las bases de datos en la nube de Google Firebase; esta opción no está marcada por defecto cuando los developers hacen uso de este entorno de desarrollo. De las 2,7 millones de apps iOS y Android analizadas, se identificaron 28,502 aplicaciones (1,275 de iOS y 27,227 de Android) que hacían uso de bases de datos Firebase. En el caso de las aplicaciones desarrolladas para iOS, la información vinculada a 600 de ellas era vulnerable. En total, más de 3,000 apps filtraban datos desde 2,271 bases de datos mal configuradas dejando al descubierto más de 100 millones de registros de usuario. En total, la información filtrada ocupa más de 113 GBs e incluye datos como:

• 2.6 millones de credenciales en texto plano (user IDs y contraseñas);
• 4 millones de registros PHI (Protected Health Information); 
• 25 millones de localizaciones GPS; 
• 50,000 registros financieros entre los que se incluyen movimientos bancarios y transacciones de Bitcoin; 
• 4.5 millones de user tokens corporativos y también de Facebook, LinkedIn y Firebase.

Para evitar que esta filtración de datos vuelva a ocurrir, desde Google recomiendan que los desarrolladores abandonen la práctica de no implementar la autenticación a todas las bases de datos, pues de lo contrario resultaría muy sencillo para cualquier atacante capacitado a accedes a una ingente cantidad de datos privados almacenados en las aplicaciones. A raíz de esta incidencia, Google ha publicado una guía completa sobre cómo hacer bases de datos seguras con Firebase. Google no sólo fue avisado del leak encontrado antes de la publicación del artículo, sino que también se le facilitó la lista de apps y servidores de bases de datos de Firebase afectados.