Miles de aplicaciones móviles basadas en Firebase exponen sus bases de datos

21/06/2018

Investigadores de seguridad móvil descubrieron bases de datos de Firebase desprotegidas en miles de aplicaciones móviles iOS y Android que están exponiendo más de 100 millones de registros de datos, incluyendo contraseñas de texto en claro, identificaciones de usuario, ubicación y, en algunos casos, registros financieros como transacciones bancarias y de criptomonedas.

El servicio Firebase de Google es una de las plataformas de desarrollo back-end más populares para aplicaciones móviles y web que ofrece a los desarrolladores una base de datos en la nube que almacena datos en formato JSON y los sincroniza en tiempo real con todos los clientes conectados.

Investigadores de la empresa de seguridad móvil Appthority descubrieron que muchos desarrolladores de aplicaciones no protegen adecuadamente sus back-end de Firebase con firewalls y autenticación, dejando cientos de gigabytes de datos confidenciales de sus clientes a disposición del público.

Dado que Firebase ofrece a los desarrolladores de aplicaciones un servidor API, como se muestra a continuación, para acceder a sus bases de datos alojadas con el servicio, los atacantes pueden obtener acceso a datos desprotegidos simplemente agregando "/.json" con un nombre de base de datos en blanco al final del nombre de host.

Sample API URL: https://<Firebase project name>.firebaseio.com/<database.json>

Payload to Access: Data https://<Firebase project name>.firebaseio.com/.json

Para descubrir el alcance de este problema, los investigadores escanearon más de 2,7 millones de aplicaciones y descubrieron que más de 3,000 aplicaciones (2,446 aplicaciones de Android y 600 de iOS) estaban filtrando 2,300 bases de datos con más de 100 millones de registros, convirtiéndose en una brecha gigante de más de 113 gigabytes de datos.

Solo las aplicaciones vulnerables de Android se descargaron más de 620 millones de veces.

Las aplicaciones afectadas pertenecen a múltiples categorías, como telecomunicaciones, criptomonedas, finanzas, servicios postales, compañías de viaje compartido, instituciones educativas, hoteles, productividad, salud, ejercicio, herramientas y más.

Los investigadores también proporcionaron un breve análisis, de los datos obtenidos que habían descargado de aplicaciones vulnerables.

  • 2,6 millones de contraseñas en texto simple e identificaciones de usuario
  • 4 millones de registros PHI (información de salud protegida, mensajes de chat y detalles de recetas)
  • 25 millones de registros de ubicación de GPS
  • 50,000 registros financieros que incluyen banca, pago y transacciones de Bitcoin
  • 4.5 millones de tokens de usuarios de datos corporativos de Facebook, LinkedIn y Firebase.

Todo esto está sucediendo en primer lugar porque el servicio Google Firebase no protege los datos del usuario de forma predeterminada, lo que requiere que los desarrolladores implementen explícitamente la autenticación del usuario en todas las filas y tablas de la base de datos para proteger estas del acceso no autorizado.

"La única característica de seguridad disponible para los desarrolladores es la autenticación y la autorización basada en reglas", explican los investigadores. ¿Qué es peor? No hay "herramientas de terceros disponibles para proporcionar un cifrado“.

Los investigadores aseguraron que ya se habían puesto en contacto con Google y les proporcionaron una lista de todas las bases de datos de aplicaciones vulnerables, y también contactaron a algunos desarrolladores de aplicaciones para ayudarlos a solucionar el problema.

Artículos relacionados: