Erros de configuração comuns no serviço Firebase, um serviço do Google, estão expondo os dados de usuários de milhares de apps Android. A descoberta foi feita por analistas da Comparitech, empresa que ajuda seus usuários a comparar e avaliar serviços online.
O Google Firebase oferece aos desenvolvedores, entre outros recursos, um sistema de banco de dados onde informações necessárias ao funcionamento dos apps são armazenadas. Segundo a Comparitech, o serviço é usado por cerca de 30% de todos os apps na Google Play Store.
Destes, 4,8% tem erros de configuração que permitem a qualquer um acessar os bancos de dados contendo informações sobre os usuários, tokens de identificação e outros dados, sem necessidade de senha ou qualquer outra forma de autenticação.
Os pesquisadores da Comparitech analisaram uma amostra de 515.735 apps, o que representa 18% de todos os apps na Google Play Store. Destes, 4.282 apps estavam expondo informações. Extrapolando estes dados, eles chegaram à conclusão de que 24 mil apps, cerca de 0,83% total, são vulneráveis.
Conjuntamente, os apps vulneráveis foram instalados mais de 4,2 bilhões de vezes por usuários Android em todo o mundo. Entre os dados encontrados estão:
- Endereços de e-mail: mais de 7 milhões
- Nomes de usuário: mais de 4,4 milhões
- Senhas: mais de 1 milhão
- Números de telefone: mais de 5,3 milhões
- Nome completo: mais de 18,3 milhões
- Mensagens de bate-papo: mais de 6,8 milhões
- Dados de localização: mais de 6,2 milhões
- Endereços IP: mais de 156 mil
- Endereços de residência ou trabalho: mais de 560 mil.
Além disso, também foram encontrados números de cartão de crédito, e até mesmo fotos de documentos de identificação. Muitos dos apps analisados expunham um banco de dados com permissão de escrita, o que permitiria a um malfeitor adicionar, modificar ou excluir informações. Segundo os pesquisadores, os jogos são a categoria de app que mais expõe dados, seguida por apps educativos.
Para acessar as informações, bastava adicionar a expressão “.json” à URL do banco de dados usado pelo app (disponível analisando o código do app). Com isso, nos apps vulneráveis, o navegador retorna um arquivo com todo o conteúdo do banco de dados.
A Comparitech não divulgou uma lista de apps afetados, mas compartilhou os dados com o Google, que informou: “O Firebase oferece vários recursos que permitem que os desenvolvedores configurem suas implementações de forma segura. Notificamos os desenvolvedores sobre potenciais erros de configuração e oferecemos recomendações de como corrigí-los. Estamos entrando em contato com os desenvolvedores afetados para ajudá-los a resolver estes problemas”.
Fonte: Comparitech