Raport Comparitech: Mii de aplicații Android expun datele utilizatorilor prin intermediul unor erori Firebase

Configurările greșite pe bazele de date Google Firebase permit persoanelor neautorizate să găsească și să acceseze cu ușurință datele personale ale utilizatorilor a mii de aplicații Android. Un studiu efectuat de compania Comparitech asupra a 515.735 de aplicații Android, ceea ce reprezintă aproximativ 18% din totalul aplicațiilor prezente pe platforma Google Play Store, a arătat că 4.282 dintre acestea prezintă breșe de securitate ce permit scurgerea informaților sensibile ale utilizatorilor lor prin intermediul Firebase. Extrapolând acest număr, se estimează că numărul total al aplicațiilor de pe platforma Google Play Store ce prezintă aceste probleme se ridică la circa 24.000.

Firebase este utilizat de aproximativ 30% dintre toate aplicațiile de pe Google Play Store, ceea ce o face cea mai populară soluție de stocare pentru aplicațiile Android. 4,8 la sută dintre aplicațiile mobile care folosesc Google Firebase pentru stocarea datelor utilizatorilor nu sunt securizate în mod corespunzător, permițând oricui să acceseze baze de date care conțin informațiile personale ale utilizatorilor, token-uri de acces și alte date fără o parolă sau orice altă metodă de autentificare.

Conform postării de pe site-ul Comparitech, ”aplicațiile vulnerabile identificate de echipa noastră au fost instalate de 4,22 miliarde de ori de către utilizatorii Android. Având în vedere că utilizatorul smartphone inteligent are între 60 și 90 de aplicații instalate, șansele sunt mari ca confidențialitatea unui utilizator Android să fie compromisă de cel puțin o aplicație.”

Datele expuse includ, dar nu se limitează la adrese de e-mail (peste 7.000.000), nume utilizator (peste 4.400.000), parole utilizator (peste 1.000.000), numere de telefon (peste 5.300.000), nume complet (peste 18.300.000), mesaje de chat (peste 6.800.000), date GPS (peste 6.200.000), adrese IP (peste 156.000), adrese fizice (peste 560.000). Pe lângă acestea, au fost compromise o varietate de date, de la numere de carduri de credit la imagini ale documentelor de identitate.

Mai multe informații legate de rezultatele studiului sunt disponibile pe site-ul Comparitech.