Firebase es una plataforma ubicada en la nube, desarrollada por Google para el desarrollo de aplicaciones (app) web y móviles. La plataforma incluye un conjunto de herramientas para la creación y sincronización de proyectos sean pequeños o grandes.
Un equipo de investigadores realizó un reporte en que analizaron un gran número aplicaciones desarrolladas usando Firebase, según su estudio, Firebase es utilizado por un 30% de todas las aplicaciones en la tienda Play Store de Google para almacenar datos, haciéndola la solución más popular de almacenamiento para aplicaciones Android.
Los expertos examinaron un total de 515.735 aplicaciones de Android, donde el 4.8% de ellas utilizan Google Firebase para almacenar datos, son usadas sin asegurarse de configurar apropiadamente los métodos de autenticación para obtener acceso a bases de datos con información privada de los usuarios, tokens de acceso, entre otros. Así como encontraron 4.282 aplicaciones con problemas de filtrado de información sensible
En el reporte compartieron una estimación de 0.83% de todas las aplicaciones en Play Store que utilizan el almacenamiento proporcionado por Firebase y filtran datos delicados de los usuarios, rondaría cercanamente a 24.000 aplicaciones.
La situación fue reportada por los expertos a Google el 22 de Abril 2020, donde Google responde asegurando que Firebase proporciona múltiples características que ayudan a los desarrolladores a configurar las medidas de seguridad necesarias, también agregaron que ellos envían notificaciones a los desarrolladores con estos problemas de configuración, como también ofrecen recomendaciones para hacerlo correctamente, donde están siempre y de forma activa comunicándose con ellos para ayudarlos con estos problemas.
Firebase es una plataforma utilizada por varios sistemas operativos por ser una herramienta (cross-platform) y cabe destacar que el equipo de investigadores sólo examinó aplicaciones Android de la tienda Play Store de Google, entrando la posibilidad que estas malas configuraciones de Firebase pueden estar impactando a más aplicaciones, fuera del entorno de Android.
Las aplicaciones comprometidas identificadas exponen diferentes datos, entre ellos se incluyen,
más de 7 millones de direcciones de correos electrónicos
más de 4.400.000 nombres de usuarios
más de 1 millón de contraseñas
más de 5.300.000 de números telefónicos
más de 18.300.000 nombres completos
más de 6.800.000 mensajes de mensajería instantánea (Chats)
más de 6.200.000 de datos de ubicación del GPS
más de 156.000 direcciones IP
más de 560.000 direcciones de vivienda
más de 4.400.000 nombres de usuarios
más de 1 millón de contraseñas
más de 5.300.000 de números telefónicos
más de 18.300.000 nombres completos
más de 6.800.000 mensajes de mensajería instantánea (Chats)
más de 6.200.000 de datos de ubicación del GPS
más de 156.000 direcciones IP
más de 560.000 direcciones de vivienda
Entre las más graves se encuentran números de tarjetas de créditos, así como fotos de identificaciones gubernamentales (Cédulas, Pasaportes, Licencias de conducir, etc).
Ejemplo información privada expuesta
Las estadísticas arrojan que las principales de aplicaciones que utilizan Firebase y exponen los datos son los juegos, seguida por las aplicaciones de educación.
Aplicaciones con almacenamiento Firebase mal configurado por categoría
Por si fuera poco, de 155.066 aplicaciones desarrolladas en Firebase analizadas, 9.014 permiten escribir, algo que dá la posibilidad a un atacante de agregar, modificar o remover datos.
Se recomienda a los desarrolladores de aplicaciones que utilicen Firebase, seguir las instrucciones en la documentación de Google Firebase.
Fuente:
COMENTARIOS