19.000 aplicaciones de Android han expuesto datos por errores de configuración de Firebase
Last Updated on octubre 12, 2022 by Daniel Cepeda
Los analistas de Avast estiman que miles de aplicaciones de Android están filtrando diversos datos debido a una configuración incorrecta de Firebase.
Los investigadores recuerdan que con Firebase se pueden almacenar datos en un gran número de aplicaciones diferentes -para formación, juegos, correo, entrega de comida y otras- en regiones de todo el mundo, incluyendo Europa (esto incluye a Rusia), el sudeste asiático y América Latina.
Como resultado, las bases de datos pueden contener información personal recogida por estas aplicaciones, como nombres, direcciones, ubicaciones y, en algunos casos, incluso contraseñas.
Muchos desarrolladores utilizan la plataforma Firebase para crear aplicaciones para Android.
Al hacerlo, pueden dejar sus desarrollos en Firebase visibles para otros desarrolladores, lo que técnicamente los hace visibles para todos.
Cuando los investigadores de Avast Threat Labs examinaron 180.300 instancias de Firebase disponibles públicamente, descubrieron que más del 10% (19.300) estaban abiertas debido a una configuración incorrecta, lo que significa que los datos estaban disponibles para personas no autenticadas.
Avast ha notificado a Google sus hallazgos para que los desarrolladores de aplicaciones puedan tomar medidas para rectificar la situación.
Como recordatorio, no es la primera vez que los expertos hablan del problema de la mala configuración de Firebase.
Por ejemplo, ya en 2018, los analistas de Appthority escanearon 2,7 millones de apps de Android e iOS e identificaron entre ellas 28.502 productos (27.227 apps de Android y 1.275 de iOS) que acceden a Firebase y utilizan este backend.
De ellas, 3.046 aplicaciones (2.446 para Android y 600 para iOS) almacenaban datos dentro de 2.271 bases de datos Firebase mal configuradas, lo que permitía a cualquiera ver su contenido.
Y lo que es peor, la mayoría de las bases de datos están alojadas bajo el dominio firebaseio.com, y las bases de datos que no requieren contraseña suelen estar indexadas por los motores de búsqueda, lo que permite descubrirlas mediante simples consultas.
Y aunque Google trata de excluir estos resultados de los resultados de búsqueda, otros motores de búsqueda siguen sin ignorar el backend de Firebase, y la información es recogida regularmente por corredores de datos clandestinos.
Anteriormente