I ricercatori sulla sicurezza di CyberNews hanno scoperto che 14 tra le migliori app Android, scaricate da oltre 140 milioni di persone in totale, non proteggono i dati utente a causa di configurazioni errate di Firebase. I dati esposti includono potenzialmente nomi degli utenti, e-mail, nomi utente e altro.
14 app Android mettono a rischio i dati degli utenti
Se avete un’app Android installata sul vostro smartphone (chi non ne ha?), è molto probabile che utilizzi Firebase. Con una base mensile attiva di oltre 2,5 milioni di app, Firebase è una piattaforma di sviluppo di applicazioni mobili che offre una moltitudine di funzioni utili, tra cui analisi, hosting e cloud storage in tempo reale.
Nel 2014, la piattaforma è stata acquisita da Google e da allora è diventata una delle soluzioni di archiviazione dati in tempo reale più popolari sul mercato per le app Android. Utilizzando Firebase, gli sviluppatori possono archiviare comodamente nel cloud token di autenticazione, credenziali utente; dati personali e altri tipi di informazioni relative alle app.
Alla luce di ciò, il team di CyberNews ha deciso di analizzare oltre un migliaio di app principali su Google Play e vedere quante stavano archiviando i propri dati su database in tempo reale Firebase in modo non sicuro. E vi anticipiamo già che le notizie non sono per nulla positive.
Secondo quanto riporta proprio CyberNews, 14 delle migliori app Android, con un totale di 142,5 milioni di installazioni, avevano errori di configurazione di Firebase. Permettendo quindi agli investigatori e a chiunque conosca l’URL giusto di accedere ai database in tempo reale. Di conseguenza anche a tutte le informazioni sugli utenti memorizzate senza alcun tipo di autenticazione.
Il 14 settembre, i ricercatori di CyberNews hanno riferito i loro risultati a Google e si sono offerti di aiutare gli sviluppatori delle app esposte a proteggere i loro database in tempo reale. Sfortunatamente, Google ha ignorato l’offerta e non ha risposto.
La conseguenza è che 9 delle 14 app Android più diffuse, che non hanno risposto alle richieste di CyberNews e che potevano essere protette solo con l’assistenza di Google, continuano a divulgare i dati di oltre 30,5 milioni di utenti.
Le app che hanno risolto subito la problematica
Ecco un esempio di un’app di oroscopo, installata da almeno 500.000 utenti, il cui database in tempo reale esposto contiene tabelle intitolate “chat” e “utenti”:
Secondo il ricercatore di CyberNews Martynas Vareikis, ciò indica che l’app mostra non solo i dati degli utenti, ma anche i loro messaggi privati a chiunque possa accedervi e utilizzarli come preferisce.
Altri esempi includono Universal TV Remote Control, probabilmente l’app remota TV più popolare con oltre 100 milioni di download su Google Play. E Remote for Roku: Codematics, che è stato installato da oltre un milione di utenti Android. Entrambe le app hanno sofferto di errori di configurazione dell’accesso a Firebase, con conseguente potenziale perdita di dati dell’utente.
Avere le proprie informazioni personali lasciate esposte è abbastanza spaventoso. Ma divulgare i dati dei propri figli e la loro posizione a potenziali intercettatori può essere molto più pericoloso. È il caso di Find My Kids: Child Cell Phone Location Tracker, un’app di localizzazione scaricata da almeno 10 milioni di genitori. L’app ha lasciato il database in tempo reale di Firebase esposto per un periodo di tempo sconosciuto.
L’app ti consente di monitorare la posizione di proprio figlio, le statistiche sull’utilizzo del telefono, ascoltare un flusso audio in diretta dal microfono del telefono e chiamarlo quando è disattivato, tutto in tempo reale. Una tale app che lascia il suo database in tempo reale all’aperto potrebbe portare a conseguenze disastrose per i bambini.
Google non ha mai risposto agli avvertimenti
Per fortuna gli sviluppatori delle quattro app citate sono stati avvisati da CyberNews e hanno disattivato prontamente il database. Gli sviluppatori di Find My Kids hanno anche aggiunto di non aver mai utilizzato il database Firebase, che era stato creato per un test. Purtroppo però, le altre nove app non hanno risposto ai ripetuti avvertimenti e continuano ad avere un database praticamente aperto a chiunque.
Google, dal canto suo, non ha mai risposto all’indagine. Dopo la prima mail, a cui l’azienda ha risposto in modo automatico, il team di CyberNews ha tentato di contattare Google tramite il loro ufficio stampa. Anche in questo caso il risultato è stato identico: un’email di risposta automatica senza alcuna spiegazione.
- Mi 10T Lite caratteristiche 64MP AI quad camera, and can take ultra-wide-angle photos for landscape, mode ritratto e...
- Mi 10T Lite include un processore Qualcomm Snapdragon 750G ad alte prestazioni, e una CPU Octa-Core. Mi 10T Lite ha...
- Mi 10T Lite caratteristiche a 6.67" FHD+ DotDisplay, and with a 120Hz AdaptiveSync display for smoother scrolling and...
LEGGI ANCHE: TikTok è l’app più scaricata (e redditizia) di iOS
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🍎Nuovi iPad e accessori: cosa aspettarsi dall’evento Apple del 7 maggio
🍿Fallout: tutte le domande irrisolte alle quali la Stagione 2 dovrà rispondere
🛞Come scegliere gli pneumatici estivi per l’estate? I fattori da considerare
🤯Google licenzia 28 dipendenti per proteste contro il progetto Nimbus in Israele
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
