Erros de configuração comuns no serviço Firebase, um serviço do Google, estão expondo os dados de usuários de milhares de apps Android. A descoberta foi feita por analistas da Comparitech, empresa que ajuda seus usuários a comparar e avaliar serviços online.

O Google Firebase oferece aos desenvolvedores, entre outros recursos, um sistema de banco de dados onde informações necessárias ao funcionamento dos apps são armazenadas. Segundo a Comparitech, o serviço é usado por cerca de 30% de todos os apps na Google Play Store.

Destes, 4,8% tem erros de configuração que permitem a qualquer um acessar os bancos de dados contendo informações sobre os usuários, tokens de identificação e outros dados, sem necessidade de senha ou qualquer outra forma de autenticação.

Os pesquisadores da Comparitech analisaram uma amostra de 515.735 apps, o que representa 18% de todos os apps na Google Play Store. Destes, 4.282 apps estavam expondo informações. Extrapolando estes dados, eles chegaram à conclusão de que 24 mil apps, cerca de 0,83% total, são vulneráveis.

Conjuntamente, os apps vulneráveis foram instalados mais de 4,2 bilhões de vezes por usuários Android em todo o mundo. Entre os dados encontrados estão:

  • Endereços de e-mail: mais de 7 milhões
  • Nomes de usuário: mais de 4,4 milhões
  • Senhas: mais de 1 milhão
  • Números de telefone: mais de 5,3 milhões
  • Nome completo: mais de 18,3 milhões
  • Mensagens de bate-papo: mais de 6,8 milhões
  • Dados de localização: mais de 6,2 milhões
  • Endereços IP: mais de 156 mil
  • Endereços de residência ou trabalho: mais de 560 mil.

Além disso, também foram encontrados números de cartão de crédito, e até mesmo fotos de documentos de identificação. Muitos dos apps analisados expunham um banco de dados com permissão de escrita, o que permitiria a um malfeitor adicionar, modificar ou excluir informações. Segundo os pesquisadores, os jogos são a categoria de app que mais expõe dados, seguida por apps educativos.

Para acessar as informações, bastava adicionar a expressão “.json” à URL do banco de dados usado pelo app (disponível analisando o código do app). Com isso, nos apps vulneráveis, o navegador retorna um arquivo com todo o conteúdo do banco de dados.

A Comparitech não divulgou uma lista de apps afetados, mas compartilhou os dados com o Google, que informou: “O Firebase oferece vários recursos que permitem que os desenvolvedores configurem suas implementações de forma segura. Notificamos os desenvolvedores sobre potenciais erros de configuração e oferecemos recomendações de como corrigí-los. Estamos entrando em contato com os desenvolvedores afetados para ajudá-los a resolver estes problemas”.

Fonte: Comparitech