保護DataHogo
Enciclopedia de Seguridad/Mejores Prácticas de Comunicación
lowCWE-312A02:2021

Datos Sensibles en Notificaciones Push

Los payloads de notificaciones push son visibles en la pantalla de bloqueo y logueados por los servicios de notificaciones — no incluyas números de cuenta, saldos o identificadores personales.

Cómo Funciona

Las notificaciones push se entregan a través de los servidores APNs de Apple o FCM de Google y se almacenan temporalmente en caché. El texto de la notificación aparece en la pantalla de bloqueo del dispositivo, visible para cualquiera que esté cerca. El contenido de la notificación también es logueado por el servicio de entrega de notificaciones.

Código Vulnerable
// MAL: datos sensibles en el cuerpo de la notificación push
await admin.messaging().send({
  token: deviceToken,
  notification: {
    title: 'Nueva Transacción',
    body: `$2,450.00 enviados desde cuenta 4827-xxxx-xxxx-1234 a Juan Pérez` // demasiada info
  }
});
Código Seguro
// BIEN: notificación vaga que requiere abrir la app para ver detalles
await admin.messaging().send({
  token: deviceToken,
  notification: {
    title: 'Nueva Transacción',
    body: 'Tienes una nueva transacción. Toca para ver.'
    // detalles solo visibles dentro de la app autenticada
  },
  data: { transactionId: 'txn_123' } // la app obtiene los detalles al abrirse
});

Ejemplo Real

Las apps bancarias han sido criticadas por exponer montos completos de transacciones y nombres de destinatarios en notificaciones push. Un dispositivo dejado en un escritorio muestra esta información a cualquiera que esté cerca sin requerir autenticación.

Cómo Prevenirlo

  • Mantén los cuerpos de notificaciones push vagos — di 'nuevo mensaje' no 'Juan te envió: Hola...'
  • Nunca incluyas números de cuenta, saldos exactos o nombres completos en el texto de notificaciones
  • Usa la notificación como una señal para abrir la app donde los datos se muestran tras la autenticación
  • Ofrece una configuración de privacidad de notificaciones que permita a los usuarios elegir entre notificaciones vagas y detalladas

Tecnologías Afectadas

Node.js

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Datos Sensibles en Emails

medium

Enviar contraseñas, tokens completos, detalles de tarjetas o datos personales excesivos por email expone esos datos a proveedores de email, destinatarios que reenvían y cualquiera con acceso a la bandeja de entrada.

CWE-312A02:2021

Sin Rate Limit en Envío de Email/SMS

medium

Los endpoints de email y SMS sin rate limiting pueden ser abusados para enviar spam a usuarios o agotar tu presupuesto de envío mediante requests automatizadas.

CWE-400A05:2021