Los datos de más de 100 millones de usuarios de aplicaciones Android podrían haber quedado expuestos

  • Actualidad

Los investigadores de Check Point Research han descubierto datos sensibles disponibles públicamente de usuarios de aplicaciones Android, con un número de descargas que oscila entre los 10.000 y los 10 millones. En total, podrían haberse visto comprometidos los datos personales de más de 100 millones de usuarios debido a una serie de fallos.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 

7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer

Tras examinar más de una veintena de apps, la división de Inteligencia de Amenazas de Check Point ha descubierto que los datos personales de más de 100 millones de usuarios han quedado debido una serie de configuraciones erróneas de servicios en la nube de terceros. Dicha información incluía correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos, lo cual, en manos de ciberdelincuentes, podría dar lugar a fraudes, hurto de identidad y robos de servicios.

Las actuales soluciones basadas en la nube son muy útiles para los desarrolladores de aplicaciones móviles, que integran en las apps servicios como el almacenamiento basado en la nube, las bases de datos en tiempo real, la analítica y otros. Sin embargo, según Check Point, a la hora de crear su configuración y su contenido, “los desarrolladores suelen pasar por alto la ciberseguridad”.

Así se desprende del análisis realizado por cinco de los investigadores de Check Point Research, que resumen en un post.

Desconfiguración de las bases de datos en tiempo real
Las bases de datos en tiempo real son las que permiten a los creadores de apps almacenar información en la nube, para así asegurarse de que se sincronizan en tiempo real con todos los clientes conectados. Este servicio resuelve uno de los problemas más comunes en el desarrollo, a la vez que asegura que la base de datos es compatible con todas las plataformas de los clientes.

Sin embargo, para que no haya fallos de seguridad, hay que configurar la autenticación. Al investigar el contenido de ciertas apps que estaban disponibles públicamente, la investigación comprobó que era posible acceder a gran cantidad de información sensible, incluyendo direcciones de correo electrónico, contraseñas, chats privados, localización de dispositivos, identificadores de usuarios y mucho más. “Si un ciberdelincuente consiguiera llegar a esta información, podría dar lugar a un borrado de servicios (es decir, intentar utilizar la misma combinación de nombre de usuario y contraseña en otros servicios), a un fraude y/o a una suplantación de identidad”, explica el post.

Por ejemplo, una de las apps que cayó este error de configuración es “Astro Guru”, una popular aplicación de astrología, horóscopo y quiromancia con más de 10 millones de descargas.

También había un problema con T’Leva, una aplicación de taxis con más de cincuenta mil descargas que almacena datos en tiempo real. Los investigadores de la firma pudieron acceder a los mensajes de chat entre conductores y pasajeros y recuperar los nombres completos de los usuarios, sus números de teléfono y sus ubicaciones (destino y recogida), todo ello con una sola petición a la base de datos.

Notificaciones push
El gestor de notificaciones push, uno de los servicios más utilizados en el sector de las aplicaciones móviles. La mayoría de las prestaciones de notificaciones push requieren una clave (a veces, más de una) para reconocer la identidad de quien acepta la solicitud. Cuando esas claves están simplemente embebidas en el propio archivo, es muy fácil para los ciberdelincuentes tomar el control y enviarlas con enlaces o contenidos maliciosos a todos los usuarios en nombre del desarrollador.

Almacenamiento en la nube
El almacenamiento en la nube de las apps móviles es una práctica también común. Estas son algunas de las apps afectadas por fallos de seguridad. Por un lado, "Screen Recorder", una app con más de 10 millones de descargas que se utiliza para grabar la pantalla del dispositivo del usuario y almacenar las grabaciones en un servicio en la nube. Si bien el acceso a las grabaciones a través de este sistema es una característica útil, puede haber graves implicaciones si se salvaguardan las contraseñas privadas de los usuarios en el mismo servicio que almacena los vídeos. Con un rápido análisis del archivo de la aplicación, los investigadores de Check Point Research pudieron acceder las mencionadas claves que dan acceso a cada grabación almacenada.

Por otro, "iFax", que no sólo tenía los datos de acceso de almacenamiento en la nube incrustadas en la aplicación, sino que también guardaba allí todas las transmisiones de fax. Con solo echar un vistazo la app, un ciberdelincuente podría acceder a todos y cada uno de los documentos enviados por los 500.000 usuarios que la instalaron.

Justo tras el descubrimiento, Check Point Research se puso en contacto con Google y con cada uno de los desarrolladores, antes de la publicación de este artículo. De hecho, algunas ya han cambiado su configuración.