AndroidAppdatabasedati compromessidati utentefirebaseHospitalGowniOSleakNewsPassword

Firebase, a rischio i dati utenti di oltre 3.000 app iOS e Android


Circa 2.200 database di Firebase non protetti in maniera corretta dagli sviluppatori di app hanno compromesso i dati utente di oltre 3.000 applicazioni iOS e Android, esponendo in chiaro informazioni sensibili come password, dati sulla salute, posizione GPS e tanto altro.

Secondo quanto riportato da Appthority, società di sicurezza specializzata proprio nelle app mobile, il problema su Firebase è stato causato dalla cosiddetta “vulnerabilità di HospitalGown“.

Il problema si verifica quando gli sviluppatori delle app scelgono di non richiedere l’autenticazione per i database cloud di Google Firebase, dato che tale richiesta non viene eseguita di default quando gli sviluppatori utilizzano questo popolare tool di sviluppo.

Firebase è un prodotto Google che contiene strumenti di back-end per la creazione di app mobili. Il tool viene utilizzato soprattutto dagli sviluppatori Android, ma anche alcune app iOS si affidano a questo servizio per archiviare e analizzare i dati.

Appthority ha rilevato che oltre 3.000 app hanno perso i dati da 2.271 database di Firebase mal configurati. E tra i dati trapelati ci sono 2,6 milioni di password di testo semplice in chiaro con relativo ID, oltre 4 milioni di record di informazioni sanitarie protette e 50.000 informazioni finanziarie.

Per proteggere i dati correttamente, gli sviluppatori devono implementare in modo specifico l’autenticazione dell’utente su tutte le tabelle e le righe del database, cosa che accade raramente nella pratica“, scrive Appthority nel report. “Inoltre, ci vuole poco sforzo per gli aggressori nel trovare i database aperti di app che usano Firebase e ottenere accesso a milioni di record di app di dati mobili privati”.

Appthority raccomanda agli sviluppatori di proteggere i propri dati in modo più efficace.

Google è stata informata del problema, con tanto di lista contenente le app e i server interessati. La stessa Google potrebbe muoversi per imporre agli sviluppatori di applicare le dovute misure di sicurezza quando viene utilizzato Firebase.


Source link

Lascia un commento

x

Utilizziamo i cookie per offrirti la migliore esperienza online. Accettando l'accettazione dei cookie in conformità con la nostra politica sui cookie.