More Than 4,000 Android Apps are Reportedly Leaking User Passwords

Alcune persone possono produrre un lungo elenco di argomenti contro l'utilizzo di Android e puoi scommettere che la sicurezza sarà abbastanza vicino alla cima. La pubblicazione di app su Google Play è molto più semplice rispetto all'App Store di Apple e gli operatori di malware ne stanno sfruttando appieno. Nonostante le numerose campagne e le precauzioni di sicurezza che sono state implementate di conseguenza, le app dannose riescono ancora a sfuggire alle crepe di tanto in tanto e agli utenti Android viene costantemente ricordato di fare attenzione con il software che installano e utilizzano.

Un recente studio condotto da un team di ricercatori di Comparitech, tuttavia, mostra che, indipendentemente dalla tua vigilanza, puoi comunque esporre i tuoi dati. Secondo esso, grazie ad alcuni errori di configurazione, è possibile accedere a milioni di record salvati da migliaia di app con una singola query di ricerca e, questa volta, il problema non è limitato ad Android.

Migliaia di applicazioni basate su Firebase archiviano i dati utente in database non protetti

Il team di esperti era guidato da Bob Diachenko che voleva saperne di più su come gli sviluppatori utilizzano Firebase. Firebase è una piattaforma di sviluppo di app che offre ai programmatori una serie di strumenti per la gestione di applicazioni mobili e Web, inclusi meccanismi di autenticazione e funzionalità di messaggistica cloud. Diachenko era interessato ai meccanismi di memorizzazione dei dati di Firebase.

La ricerca è iniziata con poco più di mezzo milione di applicazioni Android. 155 mila di loro erano basati su Firebase e ha usato l'API REST della piattaforma per accedere ai dati archiviati dalle app. I database di 11.730 delle app erano accessibili al pubblico e non erano protetti da password e, 4.282, contenevano informazioni riservate. I dati trapelati includevano, tra le altre cose:

• 156 mila indirizzi IP
• 560 mila indirizzi fisici
• 1 milione di password
• 4,4 milioni di nomi utente
• 5,3 milioni di numeri di telefono
• 6,2 milioni di record contenenti dati GPS
• 6,8 milioni di messaggi di chat
• 7 milioni di indirizzi e-mail
• 18,3 milioni di nomi

Oltre a tutto ciò, alcuni dei documenti esposti contenevano anche i dati della carta di credito e persino le foto dei documenti di identità.

Ancora più preoccupante, i dati sono archiviati in formato JSON ed è indicizzato da Bing. In altre parole, scaricare un intero database pieno di informazioni riservate potrebbe essere facile come inserire una query nel motore di ricerca di Microsoft.

Quanto è grande esattamente il problema?

Per enfatizzare la gravità della situazione, il team di Diachenko ha cercato di mettere i numeri in prospettiva. Le app vulnerabili comprendono meno dell'1% di tutte le applicazioni analizzate dagli esperti, il che potrebbe non sembrare molto, ma se assumiamo che il tasso sia lo stesso per l'intero Play Store, arriveremmo a una conclusione che circa 24 migliaia di applicazioni offerte su Google Play perdono dati sensibili. E se pensi che non sia così male, dovresti probabilmente considerare il fatto che le 4.282 app che Diachenko e il suo team hanno esaminato hanno un conteggio dei download combinato di 4,22 miliardi.

Il problema va oltre Google Play e Android. Gli sviluppatori di applicazioni web e iOS usano anche Firebase e possiamo solo immaginare quanti di loro abbiano commesso lo stesso errore di configurazione.

I creatori delle 4.282 app vulnerabili sono stati invitati a proteggere i loro database dopo che Diachenko ha rivelato il problema a Google e agli sviluppatori di app mobili è stato consigliato di fare un po 'più attenzione quando configurano le loro applicazioni basate su Firebase. Nel frattempo, agli utenti viene detto che devono utilizzare password univoche per tutti i loro account e non devono condividere troppe informazioni con le applicazioni sui loro smartphone. Sfortunatamente, in questo caso particolare, è tutto ciò che possono fare.