Detectadas más de 19.000 apps Android que exponen datos de sus usuarios

  • Vulnerabilidades

El problema radica en la mala configuración por parte de los desarrolladores de la base de datos Firebase, utilizada para almacenar datos de los usuarios, y afecta desde aplicaciones relacionadas con estilo de vida y juegos hasta apps de correo, en regiones de todo el mundo, incluida Europa.

Recomendados: 

Microsegmentación, clave para seguridad empresarial Leer

Identificación de ataques web Leer 

Avast ha detectado más de 19.000 aplicaciones Android que exponen públicamente los datos de sus usuarios como resultado de una mala configuración de la base de datos Firebase, una herramienta utilizada por los desarrolladores para almacenar datos de los usuarios. Avast notificó a Google sus hallazgos para que informara a los desarrolladores de aplicaciones y que estos pudieran tomaran medidas correctivas.

Los desarrolladores pueden utilizar Firebase para facilitar el desarrollo de aplicaciones móviles y web para la plataforma móvil Android, y pueden mantener su implementación de Firebase accesible para otros desarrolladores por lo que, técnicamente, también queda visible para el público. Los investigadores de Avast Threat Labs examinaron 180.300 instancias de Firebase que estaban disponibles públicamente y descubrieron que más del 10% (19.300) estaban abiertas, exponiendo los datos a desarrolladores no autentificados

Estas instancias abiertas ponen en riesgo de robo los datos almacenados y utilizados por las aplicaciones desarrolladas con Firebase. Entre los datos que almacenan estas apps puede haber información personal identificable, como nombres, direcciones, datos de localización, etc. Cuando los desarrolladores utilizan malas prácticas de seguridad, los registros pueden incluso contener contraseñas en texto plano.

Este riesgo afecta a una amplia gama de apps que va desde aplicaciones relacionadas con estilo de vida, entrenamiento y juegos hasta aplicaciones de correo y reparto de comida a domicilio, en regiones de todo el mundo, incluyendo Europa, el sudeste asiático y América Latina.

"Cada uno de estos casos abiertos es un incidente de violación de datos a punto de producirse y puede suponer riesgos críticos para el negocio, legales y normativos. Por tanto, la información personal de más del 10% de los usuarios de aplicaciones basadas en Firebase podría estar en peligro", explica Vladimir Martyanov, investigador de malware de Avast. "Hoy en día, cualquier empresa tiene una aplicación: tiendas, gimnasios, servicios postales, o incluso aplicaciones de medio ambiente y de donaciones. Por ello, las empresas deben esforzarse por llevar a cabo un desarrollo responsable de sus apps, haciendo de la seguridad y la privacidad una parte clave de todo el proceso de desarrollo de la app”.