Milhares de aplicativos de celular expõem bancos de dados do Firebase

Milhares de aplicativos de celular expõem bancos de dados do Firebase. Pesquisadores de segurança móvel descobriram bancos de dados Firebase desprotegidos de milhares de aplicativos móveis iOS e Android que estão expondo mais de 100 milhões de registros de dados, incluindo senhas de texto simples, IDs de usuário, localização e, em alguns casos, registros financeiros, como transações bancárias e criptográficas.

O serviço Firebase do Google é uma das plataformas de desenvolvimento de back-end mais populares para aplicativos móveis e da Web que oferece aos desenvolvedores um banco de dados baseado em nuvem, que armazena dados no formato JSON e sincroniza em tempo real com todos os clientes conectados.

Segundo o site The Hacker News, pesquisadores da empresa de segurança móvel Appthority descobriram que muitos desenvolvedores de aplicativos não conseguem proteger adequadamente seus endpoints Firebase de back-end com firewalls e autenticação, deixando centenas de gigabytes de dados confidenciais de seus clientes publicamente acessíveis a qualquer pessoa.

Como o Firebase oferece aos desenvolvedores de aplicativos um servidor de API para acessar seus bancos de dados hospedados com o serviço, os invasores podem obter acesso a dados desprotegidos adicionando apenas “/.json” com um nome de banco de dados em branco no final do nome do host.

Exemplo de URL da API: https: // <nome do projeto do Firebase> .firebaseio.com / <database.json>

Alteração para acessar os dados https: // <nome do projeto Firebase> .firebaseio.com / .json

Para descobrir a extensão desse problema, os pesquisadores analisaram mais de 2,7 milhões de aplicativos e descobriram que mais de 3.000 aplicativos – 2.446 aplicativos Android e 600 aplicativos para iOS – vazaram um total de 2.300 bancos de dados com mais de 100 milhões de registros, tornando-se uma violação de mais de 113 gigabytes de dados.

Os aplicativos afetados pertencem a várias categorias, como telecomunicação, criptomoeda, finanças, serviços postais, empresas de compartilhamento de caronas, instituições de ensino, hotéis, produtividade, saúde, condicionamento físico, ferramentas e muito mais

Os pesquisadores também forneceram uma breve análise, dos dados obtidos que tinham baixado de aplicativos vulneráveis.

• 2,6 milhões de senhas de texto simples e IDs de usuário
• 4 milhões + registros de PHI (Protected Health Information) (mensagens de bate-papo e detalhes de prescrição)
• 25 milhões de registros de localização GPS
• 50.000 registros financeiros, incluindo transações bancárias, de pagamento e Bitcoin
• Mais de 4,5 milhões de tokens de usuário do Facebook, LinkedIn, Firebase e armazenamento de dados corporativos.

Segundo o The Hacker News, os pesquisador afirmam que tudo isso está acontecendo, porque o serviço do Google Firebase não protege os dados do usuário por padrão, exigindo que os desenvolvedores implementem explicitamente a autenticação do usuário em todas as linhas e tabelas do banco de dados para proteger seus bancos de dados contra acesso não autorizado.  “O único recurso de segurança disponível para os desenvolvedores é a autenticação e a autorização baseada em regras“, explicam os pesquisadores. O que é pior? Não há ferramentas de terceiros disponíveis para fornecer criptografia para ele.

Os pesquisadores já contataram o Google e forneceram uma lista de todos os bancos de dados de aplicativos vulneráveis, além de contatar alguns desenvolvedores de aplicativos que os ajudaram a corrigir esse problema.

Fonte: The Hacker News

Veja também:

• Webinar: Gestão de Privilégios em Banco de Dados
• GDPR – 101 Controles Básicos para a Conformidade
• Edison Fontes fala sobre a importância da proteção de dados pessoais
• UE afirma que Software da Kaspersky é ‘confirmado como malicioso’
• Vamos conhecer um pouco do que é ser CISO !
• Estadão lança serviço de verificação de Fake-News
• Usando técnicas de smokescreen, hacker roubam US$10M do Banco do Chile