23 aplicaciones de Android exponen millones de datos personales de usuarios
Investigadores de seguridad descubrieron que los datos personales de más de 100 millones de usuarios de Android han sido expuestos. La exposición ha ocurrido debido a varias configuraciones incorrectas de los servicios en la nube.
Los datos se encontraron en bases de datos desprotegidas en tiempo real utilizadas por 23 aplicaciones. Lo más preocupantes es que las aplicaciones de han descargado entre 10,000 a 10 millones de veces y también incluyen recursos internos para desarrolladores.
Muchas aplicaciones populares exponen los datos de los usuarios
Las bases de datos en tiempo real mal configuradas no son una sorpresa. Sin embargo, el descubrimiento muestra que algunos desarrolladores de Android no siguen las prácticas de seguridad básicas. Las prácticas básicas de seguridad permiten restringir el acceso a la base de datos de la aplicación.
La cantidad de aplicaciones móviles con problemas de configuración incorrecta muestra que este es un problema generalizado que se puede aprovechar fácilmente con fines maliciosos.
Los desarrolladores de aplicaciones utilizan bases de datos en tiempo real para almacenar datos en la nube y sincronizarlos en tiempo real con los clientes conectados.
Los investigadores de Check Point descubrieron que algunas de estas bases de datos están desprotegidas. Por lo tanto, cualquier persona puede acceder a información personal, en parte confidencial, perteneciente a más de 100 millones de usuarios.
Los datos incluyen nombres, direcciones de correo electrónico, fechas de nacimiento y mensajes de chat. Además, la ubicación, género, contraseñas, fotos, detalles de pago, números de teléfono y notificaciones automáticas.
Algunas de las aplicaciones que exponen este tipo de información están presentes en Google Play y tienen más de 10 millones de instalaciones (Logo Maker, Astro Guru). Otras, como T’Leva, son menos populares, pero aún tienen una base de usuarios significativa con un total de instalaciones de entre 10,000 y 500,000.
Acceso a las claves
Los investigadores también encontraron detalles confidenciales relacionados con el desarrollador agregados en algunas de las aplicaciones probadas. En una aplicación, encontraron las credenciales para los servicios de notificaciones push.
En Screen Recorder, otra aplicación en Google Play con más de 10 millones de instalaciones, también expone datos sensibles. Los investigadores encontraron las claves de almacenamiento en la nube que dan acceso a las capturas de pantalla de los usuarios desde el dispositivo.
Descubrieron que la aplicación iFax para Android también almacenaba las claves de almacenamiento en la nube. Por si fuese poco, la base de datos contenía documentos y envíos de fax de más de 500,000 usuarios.
Sin embargo, algunos desarrolladores adoptaron el principio de “seguridad por oscuridad” y ofuscaron la clave secreta mediante el uso de codificación base64. Esta codificaciónno agrega protección ya que la decodificación no está protegida.
“Incluso si la aplicación no usa claves en texto plano, todo lo que se necesita es encontrar el fragmento de código que inicializa la interfaz del servicio en la nube, que en su mayoría recibe esas claves como parámetros, y seguir su valor. Eventualmente, si las claves están integradas en la aplicación, obtendremos su valor”
Check Point
De las 23 aplicaciones que analizaron los investigadores de Check Point, una docena tiene más de 10 millones de instalaciones en Google Play. Y, además, la mayoría de ellas tenían la base de datos en tiempo real desprotegida, exponiendo información confidencial del usuario.
Aunque el problema no es nuevo, es sorprendente que aplicaciones muy populares no impongan prácticas de seguridad básicas. Estas prácticas de seguridad permiten proteger a sus usuarios y datos.