La mala configuración de una base de datos de Firebase, utilizada por los desarrolladores de Android para almacenar datos de los usuarios, ha expuesto la información de quienes han utilizado más de 19.000 aplicaciones para móviles con este sistema operativo.
Los desarrolladores pueden utilizar Firebase para facilitar la creación de aplicaciones móviles y web para la plataforma móvil Android, y pueden mantener su implementación de Firebase accesible para otros desarrolladores por lo que, técnicamente, también queda visible para el público.
Así lo ha alertado la compañía de ciberseguridad Avast, que ha examinado 180.300 instancias de Firebase que estaban disponibles públicamente. Por ellas descubrieron que más del 10% (19.300) estaban abiertas, exponiendo los datos a desarrolladores no autenticados. Las instancias abiertas se debían a una mala configuración por parte de los desarrolladores.
Los datos expuestos incluyen información personal identificable recogida por las aplicaciones, como nombres, direcciones, datos de localización, e incluso, en algunos casos, contraseñas. Cuando los desarrolladores utilizan malas prácticas de seguridad, los registros pueden contener contraseñas en texto plano.
Este riesgo afecta a una amplia gama de ‘apps’ que va desde aplicaciones relacionadas con estilo de vida, entrenamiento y juegos hasta aplicaciones de correo y reparto de comida a domicilio, en regiones de todo el mundo, incluyendo Europa, el sudeste asiático y América Latina.
Avast notificó a Google sus hallazgos para que informara a los desarrolladores de aplicaciones y que estos pudieran tomar medidas correctivas.
«Instamos a todos los desarrolladores a que comprueben sus bases de datos y otros tipos de almacenamiento en busca de posibles errores de configuración para proteger los datos de los usuarios y hacer que nuestro mundo digital sea más seguro», ha asegurado el investigador de ‘malware’ de Avast Vladimir Martyanov.
