14-16 Mar 2026
Voltar ao catalogo

Chaves Firebase expostas em tres plataformas no repositorio

CRIT-05
CriticalAchado ConfirmadoSegurancaRodada 1

Descricao

API keys Firebase de tres plataformas (web, Android, iOS) expostas no repositorio. VAPID key hardcoded em environment.prod.ts. Arquivos google-services.json e GoogleService-Info.plist nao estao no .gitignore.

Evidencia
`angular/src/environments/environment.prod.ts` linha 34: `apiKey: "AIzaSyCUPqDDby_f8QJVsi63DiPiksz9bLa5gmk"`. `angular/android/app/google-services.json` linha 18: `"current_key": "AIzaSyDRk__c0yhukr-pLinuyARbD1345ls7Bpw"`. `angular/ios/App/App/GoogleService-Info.plist` presente no repositorio.
Impacto Tecnico

As chaves Firebase permitem envio de push notifications a qualquer dispositivo registrado, acesso ao Firebase Storage/Firestore se nao houver regras restritivas, e esgotamento de cotas.

Impacto de Negocio

Envio de notificacoes falsas a usuarios, dano reputacional, custo nao autorizado de servicos Firebase.

Recomendacao

Verificar Firebase Security Rules. Adicionar google-services.json e GoogleService-Info.plist ao .gitignore. Revogar e regenerar a chave VAPID.

Arquivos Afetados

angular/src/environments/environment.prod.tsangular/android/app/google-services.jsonangular/ios/App/App/GoogleService-Info.plist

Acoes Relacionadas

{
  "id": "CRIT-05",
  "title": "Chaves Firebase expostas em tres plataformas no repositorio",
  "severity": "Critical",
  "type": "achado confirmado",
  "category": "security",
  "description": "API keys Firebase de tres plataformas (web, Android, iOS) expostas no repositorio. VAPID key hardcoded em environment.prod.ts. Arquivos `google-services.json` e `GoogleService-Info.plist` nao estao no `.gitignore`.",
  "evidence": "`angular/src/environments/environment.prod.ts` linha 34: `apiKey: \"AIzaSyCUPqDDby_f8QJVsi63DiPiksz9bLa5gmk\"`. `angular/android/app/google-services.json` linha 18: `\"current_key\": \"AIzaSyDRk__c0yhukr-pLinuyARbD1345ls7Bpw\"`. `angular/ios/App/App/GoogleService-Info.plist` presente no repositorio.",
  "technicalImpact": "As chaves Firebase permitem envio de push notifications a qualquer dispositivo registrado, acesso ao Firebase Storage/Firestore se nao houver regras restritivas, e esgotamento de cotas.",
  "businessImpact": "Envio de notificacoes falsas a usuarios, dano reputacional, custo nao autorizado de servicos Firebase.",
  "recommendation": "Verificar Firebase Security Rules. Adicionar `google-services.json` e `GoogleService-Info.plist` ao `.gitignore`. Revogar e regenerar a chave VAPID.",
  "files": [
    "angular/src/environments/environment.prod.ts",
    "angular/android/app/google-services.json",
    "angular/ios/App/App/GoogleService-Info.plist"
  ],
  "pass": 1,
  "relatedActions": [
    "ACT-1.7"
  ]
}