Sono numerose le minacce che mettono a rischio la sicurezza dei nostri smartphone e dei dati in essi contenuti. Ci sono le app malevole, che promettono di aiutarci a risparmiare batteria, salvo provare a sottrarci dati personali, e poi ci sono sviluppatori sbadati, che si dimenticano di proteggere le proprie basi dati su Firebase, lasciano esposti dati di milioni di utenti.

RiskIQ, una compagnia di cybersicurezza, ha trovato una nuova app, Advanced Battery Saver che promette di migliorare la gestione energetica ma che in realtà fa molto altro. L’applicazione è stata realmente pensata per fare quello che promette, monitorando lo stato della batteria, chiudendo i processi in background e aumentando l’autonomia.

Oltre a questo però installa una backdoor che consente allo sviluppatore di guadagnare con falsi click sui banner pubblicitari, e di sottrarre informazioni personali come il codice IMEI, il numero di telefono e altre informazioni sul dispositivo. Al momento RiskIQ stima che l’app sia stata scaricata almeno 60.000 volte e non è ancora stata rimossa dal Play Store.

Più grave però è la disattenzione di alcuni sviluppatori, che non hanno adottato alcuna misura di sicurezza per proteggere i propri database su Firebase, consentendo l’accesso a chiunque. Chiunque abbia un accesso a Firebase può accedere ai dati non protetti semplicemente aggiungendo /.json al termine del proprio hostname. Finora sono state rilevate oltre 3.000 applicazione, 2446 per Android e 600 per iOS che permettono l’accesso a oltre 100 milioni di record per oltre 113 GB di dati.

Preoccupante la quantità di dati di cui i ricercatori sono riusciti a entrare in possesso, tra cui 2,6 milioni di password, 4 milioni di record con chat tra medico e paziente e prescrizioni, 50.000 transazioni bancarie, incluse transazioni in bitcoin, 4,5 milioni di token di Facebook, LinkedIn, Firebase e altri database aziendali, oltre a 25 milioni di record con posizioni GPS.

Google, responsabile dello sviluppo di Firebase, è già stata contattata dai ricercatori e anche alcuni degli sviluppatori hanno ricevuto le istruzioni necessarie per correggere questo problema.