Avast, líder mundial en seguretat digital i privacitat, ha detectat més de 19.000 apps Android que exposen públicament les dades dels seus usuaris com a resultat d’una mala configuració de la base de dades Firebase, una eina utilitzada pels desenvolupadors d’Android per a emmagatzemar dades dels usuaris. Aquest risc afecta una àmplia gamma d’apps que va des d’aplicacions relacionades amb estil de vida, entrenament i jocs fins a aplicacions de correu i repartiment de menjar a domicili, en regions de tot el món, incloent-hi Europa, el sud-est asiàtic i Amèrica Llatina.
Les dades exposades inclouen informació personal identificable (PII) recollida per les aplicacions, com a noms, direccions, dades de localització, fins i tot, en alguns casos, contrasenyes. Avast va notificar a Google les seves troballes perquè informés els desenvolupadors d’aplicacions i que aquests poguessin prenguessin mesures correctives.
Els desenvolupadors poden utilitzar Firebase per a facilitar el desenvolupament d’aplicacions mòbils i web per a la plataforma mòbil Android, i poden mantenir la seva implementació de Firebase accessible per a altres desenvolupadors pel que, tècnicament, també queda visible per al públic. Els investigadors d’Avast Threat Labs van examinar 180.300 instàncies de Firebase que estaven disponibles públicament i van descobrir que més del 10% (19.300) estaven obertes, exposant les dades a desenvolupadors no autenticats. Les instàncies obertes es devien a una mala configuració per part dels desenvolupadors de les aplicacions.
Aquestes instàncies obertes posen en risc de robatori les dades emmagatzemades i utilitzades per les aplicacions desenvolupades amb Firebase. Entre les dades que emmagatzemen aquestes apps pot haver-hi informació de diferent tipus, com a informació personal identificable (PII) (noms, dates de naixement, direccions, números de telèfon, informació de localització, tokens de servei, claus…) Quan els desenvolupadors utilitzen males pràctiques de seguretat, els registres poden fins i tot mostrar contrasenyes en text pla.
“Cadascun d’aquests casos oberts és un incident de violació de dades a punt de produir-se i pot suposar riscos crítics per al negoci, legals i normatius. Per tant, la informació personal de més del 10% dels usuaris d’aplicacions basades en Firebase podria estar en perill”, explica Vladimir Martyanov, investigador de malware d’Avast. “Avui dia, qualsevol empresa té una aplicació: botigues, gimnasos, serveis postals, o fins i tot aplicacions de medi ambient i de donacions. Per això, les empreses han d’esforçar-se per dur a terme un desenvolupament responsable de les seves apps, fent de la seguretat i la privacitat una part clau de tot el procés de desenvolupament de l’app”.
Avast recomana als desenvolupadors que es mantinguin informats sobre el risc potencial de les bases de dades mal configurades i que segueixin les millors pràctiques que Google ha proporcionat.
“Instem a tots els desenvolupadors que comprovin les seves bases de dades i altres tipus d’emmagatzematge a la recerca de possibles errors de configuració per a protegir les dades dels usuaris i fer que el nostre món digital sigui més segur”, afegeix Vladimir Martyanov.
