Datos de más de 100 millones de usuarios de Android expuestos a través de servicios en la nube mal configurados

Los investigadores de seguridad descubrieron que los datos personales de más de 100 millones de usuarios de Android estaban expuestos debido a varias configuraciones incorrectas de los servicios en la nube.

Los datos se encontraron en bases de datos desprotegidas en tiempo real utilizadas por 23 aplicaciones con recuentos de descargas que van desde 10,000 a 10 millones, y también incluyen recursos internos para desarrolladores.

Una docena de aplicaciones populares exponen los datos del usuario.

Si bien las bases de datos en tiempo real configuradas incorrectamente no son una sorpresa, el hallazgo muestra que algunos desarrolladores de Android no siguen las prácticas de seguridad básicas para restringir el acceso a la base de datos de la aplicación.

La cantidad de aplicaciones móviles con problemas de configuración incorrecta muestra que este es un problema generalizado que puede explotarse fácilmente con fines maliciosos.

Los desarrolladores de aplicaciones utilizan bases de datos en tiempo real para almacenar datos en la nube y sincronizarlos en tiempo real con los clientes conectados.

Los investigadores de Check Point descubrieron que algunas de estas bases de datos estaban desprotegidas y cualquier persona podía acceder a información personal, en parte confidencial, perteneciente a más de 100 millones de usuarios.

Los datos incluyen nombres, direcciones de correo electrónico, fechas de nacimiento, mensajes de chat, ubicación, género, contraseñas, fotos, detalles de pago, números de teléfono, notificaciones automáticas.

Algunas de las aplicaciones que exponen este tipo de información están presentes en Google Play y tienen más de 10 millones de instalaciones (Creador de logotipos, Astro Guru). Otros, como T'Leva, son menos populares pero aún tienen una base de usuarios significativa con instalaciones que van desde 10,000 a 500,000.

Datos de usuario expuestos en una nube configurada incorrectamente
Aplicación de Android con una base de datos en tiempo real no segura

Acceso a las llaves en el interior

Los investigadores también encontraron detalles sensibles del desarrollador incrustados en algunas de las aplicaciones probadas. En una aplicación, encontraron credenciales para servicios de notificaciones push.

En Grabador de pantalla, otra aplicación en Google Play con más de 10 millones de instalaciones, los investigadores encontraron claves de almacenamiento en la nube que dan acceso a las capturas de pantalla de los usuarios desde el dispositivo.

Se enteraron iFax La aplicación de Android también almacenaba claves de almacenamiento en la nube y la base de datos contenía documentos y transmisiones de fax de más de 500.000 usuarios.

Sin embargo, algunos desarrolladores han adoptado el principio de "seguridad a través de la oscuridad" y han ofuscado la clave secreta utilizando cifrado base64, que no añade protección ya que el descifrado no es seguro.

“Incluso si la aplicación no usa claves de texto sin cifrar, todo lo que necesita hacer es encontrar el fragmento de código que inicializa la interfaz del servicio en la nube, que en su mayoría toma esas claves como parámetros y sigue su valor. Al final, si las claves están integradas en la aplicación, obtendremos su valor "- Punto de control

De las 23 aplicaciones analizadas por los investigadores de Check Point, una docena tiene más de 10 millones de instalaciones en Google Play, y la mayoría de ellas tenían bases de datos desprotegidas en tiempo real, exponiendo información confidencial del usuario.

Las aplicaciones populares de Android exponen los datos del usuario
Información del usuario expuesta en bases de datos no seguras de aplicaciones de Android

Si bien el problema no es nuevo, es sorprendente que aplicaciones muy populares no apliquen prácticas de seguridad básicas para proteger a sus usuarios y datos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir