¡Cuidado! Más de 3.000 apps para móviles iOS y Android dejan tus datos expuestos

La firma de seguridad para móviles Appthority recientemente publicó un reporte en donde se revela la gravedad del estado de la seguridad en aplicaciones móviles: Más de 3000 apps son vulnerables a la amenaza “Firebase”, y por ende, comparten grandes cantidades de datos móviles, incluyendo credenciales de autenticación, datos médicos, coordenadas de localización, transacciones financieras, […]

La firma de seguridad para móviles Appthority recientemente publicó un reporte en donde se revela la gravedad del estado de la seguridad en aplicaciones móviles: Más de 3000 apps son vulnerables a la amenaza “Firebase”, y por ende, comparten grandes cantidades de datos móviles, incluyendo credenciales de autenticación, datos médicos, coordenadas de localización, transacciones financieras, entre otros. 

Por Daniela Carmoma.

Appthority descubrió el año pasado la amenaza “HospitalGown”. La empresa publicó un reporte en el cual especificaban que más de 1.000 aplicaciones para Android y iOS exfiltraban datos porque fallaban en asegurar servidores backend (de ahí el nombre de la vulnerabilidad: “HospitalGown” se traduce como “bata de hospital”. De ésas que dejan ver el “back-end”). El resultado reveló casi 43 terabytes de datos privados expuestos, en más de 21.000 servidores para Elasticsearch (una de las herramientas más populares para analizar y minar datos almacenados en servidores backend).

Pues bien, en junio este año, la misma firma encontró una especie de variante de la vulnerabilidad HospitalGown, esta vez apodada Firebase, debido a que el análisis se hizo sobre apps que utilizaban esta plataforma de bases de datos. Para especificar, Firebase es una plataforma de bases de datos hosteada en la nube y cuyos datos se almacenan como JSON y se sincronizan en tiempo real con cada cliente que esté conectado y es, a la vez, una herramienta de mobile backend as a service.

Firebase es un servicio de Google y actualmente es una de las más populares herramientas para bases de datos backend para tecnologías móviles. La similitud con HospitalGown radica en que la vulnerabilidad no es debida a código malicioso, sino a pobres configuraciones al momento de asegurar los datos móviles almacenados en Firebase. Firebase no asegura los datos de usuarios por defecto. Los desarrolladores deberían asegurar todas las tablas y columnas de datos para evitar la exposición de datos. Pero bajo las circunstancias actuales, es bastante fácil para los atacantes encontrar bases de datos de Firebase abiertas y así, obtener acceso a millones de registros de datos móviles privados.

Según el análisis de Appthority, las aplicaciones vulnerables son de diferentes categorías, incluyendo herramientas, productividad, salud y fitness, comunicaciones, y aplicaciones de finanzas y negocios, y los datos siendo exfiltrados son altamente sensibles e incluyen PII (Personally Identifiable Information; Información Personal de Identificación), PHI (Protected Health Information; Información de Salud Protegida), contraseñas sin encriptar, cuentas en redes sociales, tokens de acceso privado para intercambio de criptomonedas, transacciones financieras, información relativa a las placas-patentes de vehículos, información de geolocalización y más. Los datos provienen de grandes empresas, como bancos, telecoms, servicios postales, compañías de transporte, hoteles e instituciones educacionales, entre otras.

Se descubrieron 2.300 bases de datos de Firebase inseguras y 3.046 (2.446 aplicaciones Android y 600 apps paraiOS) aplicaciones para Android y iOS vulnerables a este error. Sólo en Android, estas aplicaciones llegan a los 620 millones de descargas. Un 9% de las aplicaciones para Android son vulnerables, pero en el caso de iOS, casi la mitad de las aplicaciones (47%) son vulnerables a esta falla. Del total de bases de datos en el servicio Firebase, un 10,34% son inseguras. Más de 100.000.000 de datos privados están expuestos, totalizando una suma de 113 Gygabytes de información privada y altamente sensible, y esta cifra astronómica incluye:

• 2,6 millones de usuarios y contraseñas almacenados sin encriptación
• Más de 4 millones de récords de salud (PHI) tan privados como conversaciones en chats y prescripciones médicas
• 25 millones de localizaciones por GPS
• 50.000 récords financieros, incluyendo bancarios, de pagos y transacciones de Bitcoins
• 4,5 millones tokens de cuentas de Facebook, LinkedIn y datos corporativos

Para las empresas (un 62% utiliza una aplicación móvil en su entorno digital) esto representa un riesgo enorme, dado que expone una cantidad enorme de datos, el descuido al momento de almacenar estos datos es generalizado en la industria y no se puede confiar en el veto de las appstores, ni en los desarrolladores ni en escáners de seguridad. De hecho, un 40% (975) de las aplicaciones que son vulnerables a estos ataques son aplicaciones orientadas a los negocios, y exfiltran códigos de autenticación corporativos, permitiéndole a un atacante, potencialmente, obtener acceso a propiedad intelectual, conversaciones privadas de negocios e información comercial privada.

Por otra parte, la ocurrencia de esta falla incurre en una evidente violación de los protocolos exigidos por todas las regulaciones en torno a la privacidad de los datos: GDPR, HIPAA, PCI, etc.

Ante la noticia, desde Google han explicado que enviaron emails en diciembre del año pasado a todos los proyectos inseguros con instrucciones para “encender” las reglas de seguridad. Las reglas de seguridad deben estar “apagadas” para permitir acceso público a las bases de datos, y Google explicó que Firebase asegura las bases de datos por defecto.

Con esto, se hace cada vez más presente la necesidad de educar en torno a prácticas seguras de desarrollo, por un lado, y por el otro, educar a los usuarios, para que éstos exijan prácticas más ciberseguras de sus proveedores de tecnologías.