Logo Computerworld University

La excelencia de la profesión TI

Escudo Computerworld University

Avast ha detectado más de 19.000 apps Android que exponen publicamente los datos de sus usuarios

La exposición se debe a una mala configuración de la base de datos Firebase

Google Android palystore

Una investigación hecha por Avast revela que los datos de los usuarios de más de 19.000 aplicaciones Android están potencialmente en peligro.

Esta exposición se debe a una mala configuración de la base de datos Firebase, herramienta utilizada por desarrolladores de Android para almacenar datos de sus usuarios. Entre los datos expuestos se encuentra información personal identificable (PII) como nombres, direcciones, datos de localización e incluso contraseñas. Avast ha notificado a Google sus hallazgos para que informe a los desarrolladores de aplicaciones y se tomen medidas correctivas. 

Los datos expuestos incluyen información personal identificable (PII) recogida por las aplicaciones, como nombres, direcciones, datos de localización, incluso, en algunos casos, contraseñas. Avast notificó a Google sus hallazgos para que informara a los desarrolladores de aplicaciones y que estos pudieran tomaran medidas correctivas. 

Los desarrolladores pueden utilizar Firebase para facilitar el desarrollo de aplicaciones móviles y web para la plataforma móvil Android, y pueden mantener su implementación de Firebase accesible para otros desarrolladores por lo que, técnicamente, también queda visible para el público. Los investigadores de Avast Threat Labs examinaron 180.300 instancias de Firebase que estaban disponibles públicamente y descubrieron que más del 10% (19.300) estaban abiertas, exponiendo los datos a desarrolladores no autentificados. Las instancias abiertas se debían a una mala configuración por parte de los desarrolladores de las aplicaciones.

Estas instancias abiertas ponen en riesgo de robo los datos almacenados y utilizados por las aplicaciones desarrolladas con Firebase. Entre los datos que almacenan estas apps puede haber información de distinto tipo, como información personal identificable (PII) (nombres, fechas de nacimiento, direcciones, números de teléfono, información de localización, tokens de servicio, claves...) Cuando los desarrolladores utilizan malas prácticas de seguridad, los registros pueden incluso contener contraseñas en texto plano.

Este hecho subraya, una vez más, la importancia de hacer de la seguridad y la privacidad una parte clave de todo el proceso de desarrollo de aplicaciones.



Últimas Noticias