Los datos de los usuarios de más de 19.000 aplicaciones Android están potencialmente en peligro

La empresa en seguridad digital, Avast, ha detectado como existen más de 19.000 aplicaciones de Android que no cuentan con las medidas de seguridad requeridas, lo que supone un riesgo para los datos de aquellos usuarios que las vienen utilizando. Todo esto es debido a una mala configuración de la base de datos Firebase, una herramienta utilizada por los desarrolladores de Android para almacenar datos de los usuarios.

Los datos de los usuarios de más de 19.000 aplicaciones Android están potencialmente en peligro 5

Dentro de estas aplicaciones en peligro, nos podemos encontrar de diferente variedad temática como estilo de vida, entretenimiento, juegos o comida a domicilio, afectando a regiones de todo el planeta.

Información personal identificable

Los datos expuestos incluyen información personal identificable (PII) recogida por las aplicaciones, como nombres, direcciones, datos de localización, incluso, en algunos casos, contraseñas. Avast notificó a Google sus hallazgos para que informara a los desarrolladores de aplicaciones y que estos pudieran tomaran medidas correctivas.

Los desarrolladores pueden utilizar Firebase para facilitar el desarrollo de aplicaciones móviles y web para la plataforma móvil Android, y pueden mantener su implementación de Firebase accesible para otros desarrolladores por lo que, técnicamente, también queda visible para el público. Los investigadores de Avast Threat Labs examinaron 180.300 instancias de Firebase que estaban disponibles públicamente y descubrieron que más del 10% (19.300) estaban abiertas, exponiendo los datos a desarrolladores no autentificados. Las instancias abiertas se debían a una mala configuración por parte de los desarrolladores de las aplicaciones.

Estas instancias abiertas ponen en riesgo de robo los datos almacenados y utilizados por las aplicaciones desarrolladas con Firebase. Entre los datos que almacenan estas apps puede haber información de distinto tipo, como información personal identificable (PII) (nombres, fechas de nacimiento, direcciones, números de teléfono, información de localización, tokens de servicio, claves…) Cuando los desarrolladores utilizan malas prácticas de seguridad, los registros pueden incluso contener contraseñas en texto plano.

Ir arriba