Miles de aplicaciones móviles exponen sus bases de datos hospedadas sin protección

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

 

Investigadores de seguridad móvil descubrieron bases de datos desprotegidas de miles de aplicaciones móviles iOS y Android que están exponiendo más de cien millones de registros de datos, incluyendo contraseñas de texto plano, identificaciones de usuario, ubicación y, en algunos casos, registros financieros como transacciones bancarias y de criptomonedas.

El servicio Firebase de Google es una de las plataformas de desarrollo back-end más populares para aplicaciones móviles y web que ofrece a los desarrolladores una base de datos en la nube que almacena datos en formato JSON y los sincroniza en tiempo real con todos los clientes conectados.

Investigadores han descubrieron que muchos desarrolladores de aplicaciones no protegen adecuadamente sus endpoints back-end Firebase con firewalls y autenticación, dejando cientos de gigabytes de datos confidenciales de sus clientes a disposición del público.

Dado que Firebase ofrece a los desarrolladores de aplicaciones un servidor API, como se muestra a continuación, para acceder a sus bases de datos alojadas con el servicio, los atacantes pueden obtener acceso a datos desprotegidos simplemente agregando “/.json” con un nombre de base de datos en blanco al final del nombre de host.

Para descubrir el alcance de este problema, los investigadores escanearon más de 2,7 millones de aplicaciones y descubrieron que más de 3.000 aplicaciones (2,446 aplicaciones de Android y 600 de iOS) estaban filtrando 2.300 bases de datos con más de 100 millones de registros, convirtiéndose en una brecha gigante de más de 113 gigabytes de datos.

En 2011, James Tamplin y Andew Lee fundaron un startup llamada Envolve. Esta plataforma proporcionó a los desarrolladores una API que permitía la integración de sistemas de chat en sus páginas web.

Tras lanzar el servicio chat, Tampin y Lee observaron que dicho chat estaba siendo utilizado en gran escala por los desarrolladores para pasar paquetes de información de sus aplicaciones, como el estado de las partidas en el caso de los juegos.

Fue entonces cuando decidieron separar ambas funcionalidades, el sistema de chat y el sistema de arquitectura en tiempo real que lo propulsaba, dando como resultado la fundación de Firebase en abril de 2012.

En octubre 2014, Firebase fue comprado por Google. En octubre 2015, Google adquirió Divshot para fusionar su equipo con el equipo de Firebase.

Desde su adquisición, Firebase ha crecido dentro de Google y ha expandido sus servicios para convertirse una plataforma unificada para desarrolladores móviles. Firebase se integra actualmente con otros servicios de Google para poder ofrecer productos a mayor escala para los desarrolladores.

En enero 2017, Google adquirió Tejido y Crashlytics de Twitter para unir sus servicios al equipo de Firebase.​ En octubre 2017 Firebase lanzó Cloud Firestore, una base de datos NoSQL en la nube.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris