24mila app sviluppate con la piattaforma Firebase sono completamente vulnerabili e, come Pollicino, seminano dati degli utenti. È quanto emerge da uno studio condotto dal Comparitech e Security Discovery attraverso l’analisi di oltre 500mila applicazioni sullo Store di Google, pari a circa il 18% di tutte quelle presenti o, secondo altre previsioni, del 30% di tutte le app per Android.
Firebase è la piattaforma di sviluppo di app mobili di Google. Lanciata nel 2011 viene acquisita dalla compagnia di Mountain view nel 2014.
Tale piattaforma offre agli sviluppatori servizi di hosting, cloud storage, autenticazioni, database in tempo reale, machine learning e analisi dei dati, messaggistica in-app e tanto altro.
I ricercatori, attraverso l’API REST di Firebase, hanno avuto accesso – semplicemente aggiungendo il suffisso .json, ossia il formato in cui vengono memorizzate le informazioni, alla fine dell’URL – a tutta la mole di dati archiviati senza le idonee protezioni e, interrogando il database, hanno potuto constatare che delle 150mila applicazioni prese in considerazione oltre 9mila di esse includevano delle autorizzazioni di scrittura che avrebbero permesso a malintenzionati di inserire, modificare o rimuovere i dati presenti sul server, inserire malware o mettere in atto truffe di phishing. Inoltre, di quasi 12mila applicazioni che avevano informazioni pubblicamente esposte, 4.282 di esse hanno subito il furto dei dati personali degli utenti.
In particolare, si parla di oltre 7 milioni di indirizzi e-mail, 4 milioni e mezzo di username, 1 milione di password, 5,3 milioni di numeri di telefono, più di 18 milioni di nomi e cognomi, quasi 7 milioni di messaggi in chat, oltre 6 milioni di dati di localizzazione, più di 150mila indirizzi IP, non mancano poi immagini, numeri di carte di credito e altri dati sensibili.
Già 2 anni fa era stata riscontrata una falla che aveva esposto 100milioni di dati.
Google, appena la vulnerabilità è stata riscontrata, ha tempestivamente avvisato gli sviluppatori esortandoli a prendere maggiori precauzioni al fine di rendere le loro distribuzioni più sicure.
Si stima che dal momento che le applicazioni sviluppate con Firebase, diffuse soprattutto per i giochi, l’intrattenimento e la produttività aziendale, queste sono state scaricate 4,2 miliardi di volte, la vulnerabilità riguarda potenzialmente decine se non centinaia di milioni di utenti di Google Play Store e, poiché Firebase è uno strumento multipiattaforma, nulla esclude che siano esposti anche dati di utenti iOS o semplici utilizzatori di web app.
Per tale motivo, poiché la maggior parte delle configurazioni errate di Firebase sono facilmente evitabili, si raccomanda agli sviluppatori innanzitutto di implementare le regole del database Firebase, poi di impedire agli utenti non autorizzati, e/o spesso malintenzionati, di accedere a informazioni riservate e soprattutto di non memorizzare le password in formato di testo semplice.
Quanto agli utenti invece, i consigli sono semplici e, per certi versi ripetitivi, ma ne va della riservatezza dei loro dati:
– evitare di utilizzare la stessa password su più account e, qualora possibile, un gestore di password per generare e archiviare password casuali complesse;
– utilizzare preferibilmente applicazioni affidabili, cioè quelle che abbiano un numero elevato di recensioni e installazioni;
– leggere attentamente i consensi e le autorizzazioni che si prestano al momento dell’installazione, così da esser coscienti delle informazioni che vengono condivise con un’applicazione;
– non condividere informazioni sensibili quali l’indirizzo di casa, foto di documenti di identità, carte di credito…
