Firebase

Uma análise de segurança revelou que mais de 150 aplicativos móveis populares estão expondo inadvertidamente dados sensíveis dos usuários devido a configurações inadequadas nos serviços do Google Firebase. A pesquisa, conduzida pelo especialista Icex0, auditou cerca de 1.200 aplicativos e descobriu que aproximadamente 80% deles utilizam serviços do Firebase. Entre os aplicativos vulneráveis, cerca de 150 apresentaram regras de segurança mal configuradas, permitindo acesso não autenticado a repositórios de dados críticos. As informações expostas incluem detalhes de pagamento, credenciais de usuários, mensagens privadas, senhas em texto claro, coordenadas de localização e chaves de acesso a serviços como AWS e GitHub. Um caso alarmante envolveu um aplicativo com mais de 100 milhões de downloads que armazenava fotos de documentos de identidade emitidos pelo governo, acessíveis sem autenticação. As falhas de segurança são atribuídas a quatro serviços do Firebase: Realtime Databases, Cloud Storage Buckets, Firestore e Remote Configuration. O problema é exacerbado por desenvolvedores que mantêm o modo de teste ou configuram regras de segurança excessivamente permissivas. Para mitigar essas vulnerabilidades, foi desenvolvido o OpenFirebase, um scanner de segurança automatizado que analisa arquivos APK para identificar configurações vulneráveis do Firebase, revelando uma quantidade significativa de dados expostos que ferramentas existentes não detectam.