Los problemas surgen de la configuración incorrecta de las bases de datos en tiempo real
Las configuraciones incorrectas en varias aplicaciones de Android filtraron datos confidenciales de más de 100 millones de usuarios, lo que podría convertirlos en un objetivo lucrativo para los actores malintencionados.
"Al no seguir las mejores prácticas al configurar e integrar en aplicaciones servicios en la nube de terceros, millones de datos privados de usuarios quedaron expuestos", dijeron los investigadores de Check Point en un análisis publicado el jueves.
"En algunos casos, este tipo de mal uso solo afecta a los usuarios, sin embargo, los desarrolladores también quedaron vulnerables. Las malas configuraciones ponen en riesgo los datos personales de los usuarios y los recursos internos del desarrollador, como el acceso a mecanismos de actualización, almacenamiento y más".
Los hallazgos provienen de un examen de 23 aplicaciones de Android disponibles en la tienda oficial de Google Play, algunas de las cuales tienen descargas que van desde 10.000 a 10 millones, como Astro Guru, iFax, Logo Maker, Screen Recorder y T'Leva.
Según Check Point, los problemas surgen de la configuración incorrecta de las bases de datos en tiempo real, las notificaciones push y las claves de almacenamiento en la nube, lo que resulta en la filtración de correos electrónicos, números de teléfono, mensajes de chat, ubicación, contraseñas, copias de seguridad, historiales del navegador y fotos.
Al no proteger la base de datos detrás de las barreras de autenticación, los investigadores dijeron que pudieron obtener datos que pertenecen a los usuarios de la aplicación de taxi angoleña T'Leva, incluidos los mensajes intercambiados entre conductores y pasajeros, así como los nombres completos, números de teléfono y destino y lugares de recogida.
Además, los investigadores descubrieron que los desarrolladores de aplicaciones integraban las claves necesarias para enviar notificaciones automáticas y acceder a los servicios de almacenamiento en la nube directamente en las aplicaciones. Esto no solo podría facilitar que los malos actores envíen una notificación fraudulenta a todos los usuarios en nombre del desarrollador, sino que también podría ser un arma para dirigir a los usuarios desprevenidos a una página de phishing, convirtiéndose así en un punto de entrada para amenazas más sofisticadas.
Asimismo, exponer las claves de acceso al almacenamiento en la nube sin ninguna protección abre la puerta a otros ataques en los que un adversario podría hacerse con todos los datos almacenados en la nube, un comportamiento que se observó en dos aplicaciones, Screen Recorder e iFax, lo que les brinda a los investigadores la capacidad para acceder a grabaciones de pantalla y documentos enviados por fax.
Check Point señala que solo algunas de las aplicaciones cambiaron su configuración en respuesta a la divulgación responsable, lo que implica que los usuarios de otras aplicaciones continúan siendo susceptibles a posibles amenazas como el fraude y el robo de identidad, sin mencionar que aprovechan las contraseñas robadas para obtener acceso fraudulentamente a otras cuentas.
"En última instancia, las víctimas se vuelven vulnerables a muchos vectores de ataque diferentes, como suplantaciones, robo de identidad, phishing y deslizamientos de servicios", dijo Aviran Hazum, gerente de investigación móvil de Check Point, y agregó que el estudio "arroja luz sobre una inquietante realidad en la que los desarrolladores de aplicaciones ponen en riesgo no solo sus datos, sino los datos de sus usuarios privados".
