Un gruppo di ricercatori ha scoperto che moltissime app non avevano configurato bene le impostazioni di sicurezza su Firebase, la piattaforma di sviluppo app di Google, esponendo milioni di dati personali.

Molto probabilmente, alcuni dei tuoi dati personali erano visibili su internet. Perché? Se un’app che usi è stata creata con Firebase, la piattaforma online di Google per lo sviluppo di applicazioni, e i suoi sviluppatori non hanno configurato correttamente le funzioni di sicurezza, allora i tuoi dati e quelli di tutti gli altri utenti potevano essere trovati online.

Fortunatamente, in seguito ai risultati della ricerca che hanno messo in luce questo problema, sia Google sia gli sviluppatori interessati hanno risolto i problemi e ora le credenziali sono al sicuro. In questo post parliamo dell’incidente di sicurezza di Firebase, di hacker etici e di come proteggere i nostri dati. Buona lettura!

App poco sicure senza saperlo

Il 19 marzo di quest’anno, tre ricercatori hanno pubblicato i risultati del loro ultimo studio, che ha permesso di scoprire circa 19 milioni di credenziali di accesso a rischio su internet. Si tratta dei dati di login e altri dati personali degli utenti di app sviluppate con Firebase, che erano esposti perché gli sviluppatori non avevano seguito correttamente le istruzioni per la sicurezza.

Il problema risale all’inizio del 2023, ma i ricercatori, come si fa in questi casi, hanno comunicato l’incidente all’azienda interessata, ovvero Google, dandole il tempo di correggere le vulnerabilità e rimediare al problema. Ora, a distanza di un anno, hanno pubblicato i risultati della loro indagine.

Si tratta di una pratica molto comune nel campo della cybersecurity, che crea valore per tutte le parti: gli hacker etici ottengono visibilità a livello internazionale e a volte un compenso economico, le aziende correggono gli errori e gli utenti finali sono più protetti.

L’unico neo di questo episodio è che Google non ha rilasciato nessuna dichiarazione al riguardo, ovvero non si è assunta pubblicamente parte della responsabilità. Ora capiremo perché avrebbe dovuto farlo.

La responsabilità di Google: se così tante app non avevano configurato bene le regole di sicurezza, significa che queste erano poco chiare e difficili da trovare o da applicare.

La sicurezza su Firebase

Firebase è una piattaforma online di proprietà di Google che aiuta gli sviluppatori a creare app tramite parti di codice pronte all’uso, servizi di revisione, analisi e monitoraggio, e altri strumenti per il marketing. Molti sviluppatori utilizzano Firebase come base tecnica per dedicare più tempo al design e all’esperienza utente.

Si tratta di un grande vantaggio, ma è accompagnato da una grossa limitazione: si è legati per sempre alla piattaforma di Google (e alle sue tariffe). In questo caso, il problema era il seguente: Google non aveva spiegato in modo chiaro come configurare le impostazioni di sicurezza e, inoltre, le informazioni non erano facili da trovare sul sito per gli sviluppatori (che tra l’altro non è tradotto in tutte le lingue).

Per questo motivo, molte app salvavano i dati personali inseriti dagli utenti, tra cui anche il nome utente e la password per l’autenticazione, e questi rimanevano visibili su internet, a patto di sapere come cercarli, che è quello che hanno fatto i ricercatori. Andiamo a vedere qual era esattamente il problema.

Il problema di sicurezza delle app

l problema principale risiedeva nelle regole di sicurezza di Firebase non impostate correttamente. Firebase fornisce una serie di regole che controllano chi può accedere ai dati salvati sulla piattaforma e come possono essere utilizzati. Queste regole sono fondamentali per proteggere le informazioni sensibili degli utenti.

Per impostazione predefinita, Firebase potrebbe avere regole di sicurezza che sono troppo permissive o non adeguatamente configurate per le esigenze specifiche di un’app. Se gli sviluppatori non modificano queste impostazioni predefinite per restringere l’accesso solo agli utenti autorizzati, i dati possono diventare accessibili a chiunque su internet.

Questo include dati sensibili come nomi utente, password in chiaro (non criptate), numeri di telefono e indirizzi email. In questo caso, centinaia di istanze Firebase erano state configurate senza regole di sicurezza adeguate, che permettevano accesso di lettura (e a volte anche di scrittura) ai dati senza autenticazione. Questo significa che chiunque conoscesse l’URL dell’istanza Firebase poteva accedere ai dati salvati, inclusi quelli sensibili.

I tre ricercatori che hanno pubblicato questo studio hanno usato vari metodi per trovare questi URL e analizzarli. Andiamo a conoscerli e a vedere come lavorano!

Chi sono i ricercatori che hanno scoperto il problema e come hanno fatto

I ricercatori hanno trovato gli URL delle istanze Firebase vulnerabili attraverso un processo chiamato scansione del web (web scraping). Questo metodo può variare nei dettagli specifici, ma in generale comporta l’uso di script automatizzati o bot che navigano su internet cercando specifiche configurazioni o dati esposti.

Per quanto riguarda Firebase e la ricerca di configurazioni errate che espongono dati sensibili, i ricercatori hanno probabilmente utilizzato strumenti personalizzati per scansionare un numero enorme di domini internet alla ricerca di riferimenti a Firebase. Diciamo “probabilmente” perché in questi casi, come abbiamo accennato, i ricercatori non divulgano troppe informazioni affinché non vengano utilizzate da cybercriminali.

Questi strumenti possono cercare modelli specifici nelle pagine web o nei file JavaScript utilizzati dalle app e dai siti che indicano l’uso di Firebase. Una volta individuati questi riferimenti. Gli strumenti possono poi verificare se le istanze di Firebase associate a questi siti sono configurate in modo sicuro o se espongono dati sensibili.

Ecco i passaggi generali seguiti in questi casi dai ricercatori:

  1. Scansione dei domini: utilizzando un elenco di domini internet, gli script automatizzati cercano riferimenti all’ambiente di sviluppo Firebase nelle pagine web o nei file di configurazione scaricabili.
  2. Identificazione delle istanze Firebase: una volta trovati i riferimenti a Firebase, gli script estraggono gli URL (gli indirizzi) delle istanze Firebase.
  3. Verifica delle configurazioni: con gli URL estratti, gli script accedono alle istanze Firebase per verificare le configurazioni delle regole di sicurezza. Ad esempio se i dati possono essere letti o scritti senza autenticazione.
  4. Raccolta dei dati: se un’istanza Firebase è configurata in modo non sicuro. Lo script può provare a leggere i dati esposti per stimare le dimensioni della falla di sicurezza.

Questo tipo di ricerca è anche conosciuto come bug bounty (letteralmente taglie sugli errori) e viene condotto seguendo principi etici molto rigorosi per evitare accessi non autorizzati o danni alle persone. In molti casi, i ricercatori si limitano a identificare le potenziali vulnerabilità senza accedere effettivamente ai dati. E informano le aziende affinché possano correggere le configurazioni.

LEGGI ANCHE: Screenshot poco sicuri su Windows 11

Di chi è la colpa? Degli sviluppatori o di Google?

Prima abbiamo accennato al fatto che Google non ha rilasciato nessuna dichiarazione al riguardo. Questo è un problema perché la responsabilità in questo tipo di incidenti è condivisa tra i produttori della piattaforma e i suoi utenti.

Da un lato, lo sviluppatore che usa Firebase ha la responsabilità di seguire tutte le linee guida di sicurezza e rispettare i requisiti normativi delle giurisdizioni dei paesi in cui verrà utilizzata l’applicazione. Dall’altro lato, i regolamenti europei obbligano le Big Tech a rendere facile ed evidente l’implementazione delle misure di sicurezza che proteggono gli utenti finali, così come delle informative sulla privacy e altre comunicazioni importanti.

Se così tante aziende non hanno saputo configurare le regole di sicurezza, probabilmente questa operazione non era spiegata bene, non era messa in evidenza o era troppo complicata perché tutti potessero seguirla correttamente.

Dovremmo dare più importanza alla privacy e preferire i servizi e i prodotti delle aziende che la rispettano.

Consigli per la protezione dei dati personali nelle app

Quando i problemi di sicurezza sono a monte, cioè a livello dello sviluppo stesso dell’app, c’è poco da fare. Di solito le app vengono programmate seguendo il principio della sicurezza by-design, ovvero come priorità in fase di progettazione.

Tuttavia, errare è umano (e lo fanno anche i computer), per cui è normale che periodicamente vengano trovate nuove vulnerabilità nei sistemi, che infatti vengono chiamate vulnerabilità 0 day, per indicare che sono appena state scoperte.

Il problema è che, prima che vengano scoperte, gli utenti non possono fare niente per evitarle, per questo quando scegliamo un’app o un servizio web dobbiamo sempre verificare che si tratti di un prodotto ben fatto, sviluppato da un’azienda onesta.

Ecco cosa puoi fare per migliorare la sicurezza dei tuoi dati quando usi un’app:

  • Utilizza password complesse per autenticarti.
  • Non riutilizzare MAI la stessa password per più app.
  • Usa un password manager per gestire le tue password uniche e complesse.
  • Controlla con attenzione l’attendibilità dello sviluppatore dell’app, soprattutto se scarichi APK or app poco conosciute.
  • Leggi l’informativa sulla privacy e come verranno utilizzati i tuoi dati.
  • Regola le autorizzazioni dell’app nel modo più stringente possibile, ad esempio consenti alle app di accedere ai tuoi dati e alla posizione solo durante l’uso.
  • Imposta gli aggiornamenti automatici delle app per approfittare di tutte le patch di sicurezza che vengono rilasciate.
  • Controlla periodicamente su Have I Been Pwned per vedere se il tuo indirizzo email è rimasto coinvolto in un data breach.
  • Informati regolarmente sulle nuove minacce di cybersecurity (il nostro blog è un buon inizio!)

Seguendo questi semplici consigli. I tuoi dati personali e i tuoi account online saranno più protetti in caso di incidenti di sicurezza o problemi strutturali come questa configurazione sbagliata di Firebase.

In questo post abbiamo visto qual è stato il problema di sicurezza di Google Firebase, perché si è verificato questo incidente e cosa puoi fare quando usi un’app per proteggere più attivamente i tuoi dati e mitigare i danni in caso di una violazione. Per concludere, ti invitiamo a provare il nostro antivirus per Android, per aggiungere una barriera di sicurezza in più al tuo smartphone!

CONTINUA A LEGGERE: Come impedire a Google di ascoltare quello che dici al telefono

Buona navigazione e buon utilizzo sicuro delle app sviluppate con Firebase!