Circa 2.200 database di Firebase non protetti in maniera corretta dagli sviluppatori di app hanno compromesso i dati utente di oltre 3.000 applicazioni iOS e Android, esponendo in chiaro informazioni sensibili come password, dati sulla salute, posizione GPS e tanto altro.
Secondo quanto riportato da Appthority, società di sicurezza specializzata proprio nelle app mobile, il problema su Firebase è stato causato dalla cosiddetta “vulnerabilità di HospitalGown“.
Il problema si verifica quando gli sviluppatori delle app scelgono di non richiedere l’autenticazione per i database cloud di Google Firebase, dato che tale richiesta non viene eseguita di default quando gli sviluppatori utilizzano questo popolare tool di sviluppo.
Firebase è un prodotto Google che contiene strumenti di back-end per la creazione di app mobili. Il tool viene utilizzato soprattutto dagli sviluppatori Android, ma anche alcune app iOS si affidano a questo servizio per archiviare e analizzare i dati.
Appthority ha rilevato che oltre 3.000 app hanno perso i dati da 2.271 database di Firebase mal configurati. E tra i dati trapelati ci sono 2,6 milioni di password di testo semplice in chiaro con relativo ID, oltre 4 milioni di record di informazioni sanitarie protette e 50.000 informazioni finanziarie.
“Per proteggere i dati correttamente, gli sviluppatori devono implementare in modo specifico l’autenticazione dell’utente su tutte le tabelle e le righe del database, cosa che accade raramente nella pratica“, scrive Appthority nel report. “Inoltre, ci vuole poco sforzo per gli aggressori nel trovare i database aperti di app che usano Firebase e ottenere accesso a milioni di record di app di dati mobili privati”.
Appthority raccomanda agli sviluppatori di proteggere i propri dati in modo più efficace.
Google è stata informata del problema, con tanto di lista contenente le app e i server interessati. La stessa Google potrebbe muoversi per imporre agli sviluppatori di applicare le dovute misure di sicurezza quando viene utilizzato Firebase.
