Milioni di password, coordinate GPS e dati finanziari sono facilmente accessibili e esposti al pubblico – potreste essere tra coloro che ne sono coinvolti.
Un team di ricercatori presso Appthority, un’azienda specializzata in sicurezza mobile, ha analizzato le applicazioni mobili su Android e iOS che hanno utilizzato i database Firebase per conservare le informazioni degli utenti. Firebase è una piattaforma di backend basata su cloud molto diffusa per applicazioni mobili e web. Acquisita da Google nel 2014, Firebase ha attirato l’attenzione di alcuni tra i migliori sviluppatori Android.
I risultati scoperti dai ricercatori della sicurezza mobile sono preoccupanti.
Appthority ha analizzato più di 2,7 milioni di app mobili su iOS e Android per la loro relazione. Dai risultati emersi, è stato rilevato che tra le 27.227 app Android e le 1.275 app iOS prese in esame, 3.046 app salvavano i dati all’interno di 2.271 database non protetti, accessibili da chiunque. In particolare, 2.446 di queste app sono su Android e le restanti 600 sono su iOS.
Quindi, cosa esattamente viene memorizzato in modo visibile qui per il mondo esterno? Tra le varie applicazioni vulnerabili, i dati che sono stati esposti includono: 2,6 milioni di ID utente e password in chiaro, 25 milioni di record di localizzazione GPS salvati, 50mila record di transazioni finanziarie in-app, e oltre 4,5 milioni di token utente per piattaforme social media. Altri dati rivelati comprendono più di 4 milioni di record PHI (Protect Health Information) che contengono conversazioni private e informazioni sulle prescrizioni.
Complessivamente, più di 100 milioni di dati individuali, corrispondenti a oltre 113 gigabyte di informazioni, sono coinvolti nella violazione. Le applicazioni Android coinvolte sono state scaricate più di 620 milioni di volte dal Google Play Store.
Quanto è semplice per chiunque accedere a queste informazioni personali? Secondo il rapporto, i backend Firebase non sicuri non sono difesi da firewall o sistemi di autenticazione. Per accedere a questi database non protetti, un individuo malintenzionato dovrebbe solamente aggiungere “/.json” a un nome di database vuoto alla fine del nome host (per esempio, “https://appname.firebaseio.com/.json”).
I ricercatori hanno comunicato con Google prima di pubblicare il rapporto, fornendo loro una lista completa delle app non protette e contattando direttamente gli sviluppatori. Le app vulnerabili includono varie categorie come messaggistica, finanza, salute e viaggi, e coinvolgono aziende e creatori di tutto il mondo.
Questa situazione, insieme ad altri casi simili, conferma che ci sono molte lacune nelle aziende che gestiscono i nostri dati personali più sensibili.
Aggiornamento: 2 luglio 2018, ore 13:00 EDT Un rappresentante di Google ha contattato per fornire nuove informazioni. A dicembre 2017, Google ha inviato email a tutti i progetti non sicuri con istruzioni su come attivare le regole di sicurezza. Gli sviluppatori devono disattivare le regole di sicurezza per consentire l’accesso pubblico ai database. Firebase protegge i database per impostazione predefinita.
Argomenti trattati includono Android, applicazioni e software, sicurezza informatica, iPhone e privacy.
