Un’app Android molto popolare, con oltre 100.000 download su Google Play e una valutazione media di 4.5 stelle, ha mostrato un grave problema di sicurezza che ha messo a rischio i dati sensibili degli utenti. Il problema è stato rilevato dal team di Cybernews, che ha scoperto un’importante fuga di informazioni sensibili dell’utente e di dati aziendali accumulati dagli sviluppatori dell’app Barcode to Sheet.
L’app Barcode to Sheet, focalizzata sul mercato dell’e-commerce, funge da scanner di codici a barre che consente agli utenti di trasferire dati da codici a barre a vari formati riconoscibili dalle app per fogli di calcolo. Il suo punto di forza è rappresentato dal fatto che ha riscosso più di 100mila download sul Google Play Store.
Ciò che il team ha identificato è stata la totale assenza di sicurezza del database Firebase dello sviluppatore dell’app, che conteneva più di 368 MB di dati facilmente accessibili da chiunque. Firebase è un servizio di memorizzazione dati in tempo reale per qualsiasi applicazione, comunemente utilizzato per archiviare dati raccolti dalle app.
Ma cosa c’era in questo database così facilmente accessibile? Le informazioni più sensibili riguardavano sia dati aziendali che dati degli utenti. Alcune delle informazioni aziendali presenti sul server aperto erano memorizzate in formato testo semplice, tra cui dettagli sui prodotti, rapporti, email e ID utente. Le password degli utenti, invece, erano conservate in formato hash MD5, un formato che, nonostante cripti il testo da proteggere, è afflitto da molteplici vulnerabilità e non richiede competenze di programmazione sofisticate per essere decifrato.
Oltre a questi dati, il server aperto conservava anche informazioni potenzialmente sensibili relative al lato client dell’applicazione con chiavi di accesso e ID. Tra i dettagli accessibili c’erano l’ID del client web, la chiave dell’API di Google, l’ID dell’app di Google, la chiave di segnalazione degli incidenti e altre informazioni tipicamente destinate solo agli sviluppatori dell’app.
Accesso non autorizzato a queste informazioni può permettere agli aggressori di effettuare attacchi di phishing con minori restrizioni. Ad esempio, l’accesso alla chiave API di Google, se abbinato all’ID dell’app di Google, conferisce pieno accesso al servizio e ai dati trasmessi da quel servizio specifico.
La quantità di dati presenti sul database aperto era considerevole, considerando che l’app conta meno di mezzo milione di utenti. Se un malintenzionato dovesse mettere le mani su un tale set di dati, questi potrebbero facilmente finire sul dark web. Qui, le informazioni personali identificabili (PII) degli utenti vengono utilizzate per fini illeciti, come il furto di identità o il guadagno finanziario. Ad esempio, numeri di carte di credito e numeri di previdenza sociale possono essere acquistati sul dark web per meno di 20 dollari. Gli attacchi di phishing potrebbero così essere automatizzati utilizzando grandi set di dati. Talvolta, può bastare una singola vittima su migliaia perché l’attacco risulti vantaggioso.