Des centaines d’applications iOS et Android ont des problèmes de fuite de données. Ces apps utilisent Firebase, une « boîte à services » proposée par Google, qui contient toutes sortes d’outils (analyses statistiques, messagerie, rapport de crash, système de notifications, bases de données…). Particulièrement populaires chez les développeurs d’apps et de webapps, ces outils doivent toutefois être bien configurés pour éviter les fuites de données.

En janvier, les chercheurs d'Appthority ont scruté les applications mobiles exploitant Firebase afin de stocker les données de leurs utilisateurs. Sur les 2,7 millions d’apps Android et iOS passées par ce tamis, ils en ont identifié 28 502 se connectant et stockant des données dans des backends Firebase. Sur ce volume, 3 046 sauvegardent des données au sein de bases de données Firebase mal configurées (il est possible d’accéder à leurs données via des URL schème JSON) ; la majorité (2 446) sont des apps Android, mais 600 sont des applications iOS.

Les quelques 100 millions d’enregistrements de données d’utilisateurs de ces applications représentent 113 Go répartis dans 2 271 bases de données : 2,6 millions d’identifiants et de mots de passe en clair, 4 millions de données liées à la santé (comme des détails de prescription), 25 millions de données GPS, 50 000 informations bancaires (règlements, transactions bitcoin…), 4,5 millions de jetons d’identification à des réseaux sociaux.

Plusieurs de ces applications sont particulièrement populaires : les apps Android « fuiteuses » ont ainsi été téléchargées à plus de 620 millions de copies sur le Play Store de Google… Appthority a prévenu le moteur de recherche avant de publier son rapport, fournissant à l’entreprise une liste des apps touchées et de leurs serveurs Firebase.