Migliaia di app Android e iOS che usano Firebase espongono i dati degli utenti

Firebase è un servizio in-cloud di Google che gli sviluppatori di applicazioni possono utilizzare per gestire le esigenze di autenticazione, di database real time, di gestione delle notifiche e altro ancora.
La piattaforma Firebase è utilizzata da migliaia di programmatori di tutto il mondo ed è comune a molte delle app che ciascuno di noi adopera quotidianamente.

Gli esperti di Appthority hanno però denunciato un problema: migliaia di applicazioni Android e iOS utilizzerebbero database Firebase mal configurati tanto che il loro contenuto sarebbe liberamente accessibile dall’esterno, da parte di utenti non autorizzati.
Complessivamente sarebbero oltre 2.200 i database Firebase esposti: i tecnici di Appthority hanno spiegato che i criminali informatici sono di fatto in grado di analizzare le comunicazioni e sottrarre dati riservati.

Secondo Appthority sarebbe molto frequente la possibilità di accedere ai dati conservati nei database Firebase mediante URL JSON.

Complessivamente, i database individuati da Appthority permetterebbero di accedere a oltre 100 milioni di record tra cui: 2,6 milioni di username e password in chiaro, più di 4 milioni di informazioni sullo stato di salute degli utenti, 25 milioni di informazioni geolocalizzate, 50mila dossier finanziari, 4,5 milioni di token per l’accesso a vari servizi online.

Prendendo in esame solo le app Android facenti uso di risorse Firebase configurate in maniera superficiale, esse sarebbero state scaricate più di 620 milioni di volte tramite il Play Store di Google.

Appthority ha specificato di aver immediatamente informato Google circa la scoperta fornendo all’azienda di Mountain View i nomi delle app “incriminate” e le modalità con cui i dati vengono gestiti. Alla faccia del GDPR e delle sue prescrizioni in materia di tutela dei dati personali e sensibili.