Las apps para el rastreo de contactos de COVID-19 -comúnmente llamadas “COVID trackers”-, fueron creadas con la intención de geolocalizar individuos que potencialmente fueran portadores del virus, buscando servir como herramientas de diagnóstico temprano y también como una fuente de estadísticas para los diversos gobiernos que las impulsaron. En este contexto, ESET, compañía líder en detección proactiva de amenazas, analizó las aplicaciones para Android más relevantes relacionadas al COVID-19 impulsadas por autoridades latinoamericanas.
ESET investigó 17 aplicaciones pertenecientes a autoridades gubernamentales de países como Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Perú y Uruguay. Del total de aplicaciones analizadas -todas disponibles en la Play Store- 14 utilizaban Firebase Realtime Database para almacenar datos.
Se analizó la seguridad de las bases de datos de Firebase destinadas a almacenar la información de los usuarios, las cuales han sido utilizadas por varias apps de rastreo de contactos en distintos países, presentando en algunos casos errores en la configuración que afectaban a la seguridad y privacidad de los datos.
Desde el Laboratorio de Investigación de ESET se detectó que dos de estas apps de rastreo, ambas de Argentina e impulsadas por gobiernos provinciales y municipalidades locales, eran vulnerables a posibles ataques dado que se conectaban con bases de datos públicas para procesar datos privados de más de 6000 usuarios, como son nombres, apellidos, fechas de nacimiento, DNI, correos electrónicos, miles de puntos de geolocalización (algunos directamente asociados a un usuario puntual), números de teléfono, y datos de seguimiento médicos sobre los pacientes (si se les realizó un hisopado y si resultaron positivos), entre otra información. Cabe destacar que las vulnerabilidades mencionadas ya fueron reparadas antes publicar esta investigación.
Firebase, de Google, es una solución rápida para el almacenamiento de datos y el envío de mensajes en aplicaciones cliente-servidor. Los datos se guardan en formato JSON y pueden ser consultados o modificados a través de una API tipo REST. Aunque existen reglas que pueden configurarse en cascada para controlar el acceso a la información sensible, muchas veces estas reglas están mal definidas y permiten a un atacante recuperar los datos almacenados en diferentes niveles de la ruta de acceso.
Cortesía de ESET Latinoamérica