Após a ESET analisar aplicativos de rastreamento da Covid-19 que usavam os bancos de dados do Firebase, revelou que alguns expuseram dados de usuários particulares
Um relatório publicado pela Comparitech constatou que 4,8% dos aplicativos que usam o Google Firebase não estão configurados corretamente, portanto levando a possíveis vazamentos de informações.
Os pesquisadores estimaram que 0,83%, ou seja 24 mil, de todos os aplicativos publicados no Google Play expõem dados confidenciais por meio do Firebase..
Os aplicativos de rastreamento da Covid-19, foram criados com a intenção de geolocalizar indivíduos que potencialmente carregam o vírus, buscando servir como ferramentas de diagnóstico precoce e como fonte de estatísticas para os vários governos que os desenvolveram.
Nesse contexto, a ESET, analisou 17 aplicativos Android mais relevantes relacionados à Covid-19, desenvolvidos pelas autoridades latino-americanas.
Do número total de aplicativos analisados - todos disponíveis na Play Store – 14 utilizaram o Firebase Realtime Database para armazenar dados.
Segurança dos bancos de dados do Firebase
A segurança dos bancos de dados do Firebase projetados para armazenar informações do usuário, que foram usadas por vários aplicativos de rastreamento de contatos em diferentes países, foi analisada, em alguns casos apresentando erros de configuração que afetavam a segurança e a privacidade dos dados.
No Laboratório de Pesquisa da ESET, foi detectado que dois desses aplicativos de rastreamento da Argentina e incentivadas por governos estaduais e municipais, estavam vulneráveis a possíveis ataques, uma vez que se conectavam a bancos de dados públicos para processar dados privados.
O Firebase do Google é uma solução rápida para armazenar dados e enviar mensagens em aplicativos cliente-servidor. Os dados são salvos no formato JSON e podem ser consultados ou modificados por meio de uma API do tipo REST.
Embora existam regras que podem ser conectadas para controlar o acesso a informações confidenciais, muitas vezes são mal definidas permitindo ao invasor recuperar dados armazenados em diferentes níveis do caminho.
No entanto tais vulnerabilidades foram corrigidas antes da publicação desta investigação.
