Los datos personales de más de 100 millones de usuarios quedaron al descubierto ante ciberataques por una mala configuración de los servicios de la nube de aplicaciones Android, advierte un informe de la empresa de seguridad informática Check Point Research.
El informe destaca que esa falla dejó al descubierto datos sensibles disponibles públicamente en bases de datos en tiempo real en trece aplicaciones Android con un número de descargas que oscila entre los 10.000 y los 10 millones.
Algunas de las apps vulnerables son de temáticas que van desde la astrología hasta servicios de taxis, creación de logotipos pasando por grabación de pantalla y servicios de fax… que dejan a los usuarios y a los desarrolladores en situación de vulnerabilidad frente a los ciberdelincuentes, remarcó.
Tras examinar 23 aplicaciones para Android, Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies, un proveedor líder especializado en ciberseguridad a nivel mundial, ha descubierto que los desarrolladores de aplicaciones móviles cometieron errores en la configuración de servicios en la nube de terceros.
Tal información incluye correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos, lo cual, en manos de ciberdelincuentes, podría dar lugar a fraudes, hurto de identidad y robos de servicios.
Las actuales soluciones basadas en la nube se han convertido en el nuevo referente para el desarrollo de aplicaciones móviles. Servicios como el almacenamiento basado en la nube, las bases de datos en tiempo real, la analítica y otros, están a un solo clic de ser integrados en las aplicaciones. Sin embargo, a la hora de crear su configuración y su contenido, los desarrolladores suelen pasar por alto la ciberseguridad, puntualiza el informe.
Bases de datos
Las bases de datos en tiempo real son las que permiten a los creadores de apps almacenar información en la nube, para así asegurarse de que se sincronizan en tiempo real con todos los clientes conectados. Este servicio resuelve uno de los problemas más comunes en el desarrollo, a la vez que asegura que la base de datos es compatible con todas las plataformas de los clientes.
Sin embargo, ¿qué sucede si detrás de la misma no se configura la autenticación? La realidad es que esta falta de configuración no es nueva y sigue siendo muy común y afecta a millones de usuarios.
Al investigar el contenido de ciertas apps que estaban disponibles públicamente, los investigadores comprobaron que era posible acceder a gran cantidad de información sensible, incluyendo direcciones de correo electrónico, contraseñas, chats privados, localización de dispositivos, identificadores de usuarios y mucho más.
Si un ciberdelincuente consiguiera llegar a esta información, podría dar lugar a un borrado de servicios (es decir, intentar utilizar la misma combinación de nombre de usuario y contraseña en otros servicios), a un fraude y/o a una suplantación de identidad, subrayó.
Una de las apps que posee este error de configuración es “Astro Guru”, una popular aplicación de astrología, horóscopo y quiromancia con más de 10 millones de descargas. Después de que los usuarios introduzcan sus datos personales, como el nombre, la fecha de nacimiento, el sexo, la ubicación, el correo electrónico y las credenciales de pago, Astro Guru les proporciona un informe personal de predicción de astrología y horóscopo.
Almacenar información personal es una cosa, pero ¿qué pasa con el almacenamiento de datos en tiempo real? Para eso está y sirve este tipo de herramienta en tiempo real. A través de T’Leva, una aplicación de taxis con más de cincuenta mil descargas, los investigadores de Check Point Research pudieron acceder a los mensajes de chat entre conductores y pasajeros y recuperar los nombres completos de los usuarios, sus números de teléfono y sus ubicaciones (destino y recogida), todo ello con una sola petición a la base de datos.
Notificaciones push
Por otro lado, es importante destacar el papel del gestor de notificaciones push, uno de los servicios más utilizados en la industria de las aplicaciones móviles. Estos requerimientos se utilizan a menudo para anunciar nuevos contenidos disponibles, mostrar mensajes de chat o correos electrónicos. La mayoría de las prestaciones de notificaciones push requieren una clave (a veces, más de una) para reconocer la identidad de quien acepta la solicitud. Cuando esas claves están simplemente incrustadas en el propio archivo, es muy fácil para los ciberdelincuentes tomar el control y enviarlas con enlaces o contenidos maliciosos a todos los usuarios en nombre del desarrollador.
Por ejemplo, si una aplicación de un medio de comunicación enviara un aviso de noticias falsas a sus usuarios, redirigiéndolos a una página de phishing, es de suponer que como el aviso procede de la app oficial, los usuarios asumirían que la alerta es legítima, explica el informe.
Almacenamiento en la nube
El almacenamiento en la nube de las apps móviles es una práctica que se ha disparado en los últimos años. Permite el acceso a archivos compartidos por el desarrollador o por la aplicación instalada. Algunos ejemplos de esta práctica son:
Con más de 10 millones de descargas, «Screen Recorder» se utiliza para grabar la pantalla del dispositivo del usuario y almacenar las grabaciones en un servicio en la nube. Si bien el acceso a las grabaciones a través de este sistema es una característica útil, puede haber graves implicaciones si se salvaguardan las contraseñas privadas de los usuarios en el mismo servicio que almacena los vídeos. Con un rápido análisis del archivo de la aplicación, los investigadores de Check Point Research pudieron acceder las mencionadas claves que dan acceso a cada grabación almacenada.
Por su parte, «iFax», no sólo tenía los datos de acceso de almacenamiento en la nube incrustadas en la aplicación, sino que también guardaba allí todas las transmisiones de fax. Con solo echar un vistazo la app, un ciberdelincuente podría acceder a todos y cada uno de los documentos enviados por los 500.000 usuarios que la instalaron.
Justo tras el descubrimiento, Check Point Research se puso en contacto con Google y con cada uno de los desarrolladores, antes de la publicación de este artículo. De hecho, algunas ya han cambiado su configuración.
Discussion about this post