Los datos personales de más de 100 millones de usuarios quedan expuestos por una mala configuración de ciertas apps Android

Se ha descubierto que una mala configuración de los servicios en la nube en tiempo real de algunas aplicaciones permite acceder a datos sensibles de los usuarios; tales como direcciones de correo electrónico, mensajes privados, fotografías y hasta contraseñas. Esta configuración errónea se aplicó en ciertas apps Android que acumulan más de cien millones de descargas.

Para que una app ofrezca servicios a los usuarios necesita almacenar cierta información en una base de datos para así contrastarla de manera constante y descargar aquello que la persona necesite. Por ejemplo, una app de taxis requiere almacenar un nombre de usuario, la dirección o los métodos de pago; gestionándose toda esta información sensible mediante bases de datos en tiempo real para que el usuario no sufra demoras en las aplicaciones. El problema, tal y como descubrió CheckPoint Research, es que no todas las apps aseguran esas bases de datos tan vitales.

Bases de datos en tiempo real sin ningún sistema de protección

Información obtenida de una base de datos no protegida. Imagen de CheckPoint

Hemos de decir que el grave error de privacidad afecta a un número de aplicaciones reducido; sin que por ello se escapen aplicaciones con más de diez millones de descargas, como Creador de logos o AstroGuru. Según descubrieron investigadores de la agencia de seguridad CheckPoint, un atacante puede acceder a información sensible con sólo realizar una petición a la base de datos de estas apps.

Dado que las aplicaciones necesitan almacenar información en bases de datos, y que dichas apps requieren acceso constante a la información almacenada, los desarrolladores utilizan bases de datos en tiempo real para agilizar los procesos sin que las apps pierdan atractivo para los usuarios. El problema llega cuando no se protege el acceso a esas bases: con interceptar las peticiones, analizar las URLs y realizar una petición ajena enmascarando la web resulta posible obtener información sumamente delicada. Éste es un grave problema, tanto de privacidad como de seguridad.

Tal y como especifica CheckPoint, los investigadores lograron obtener direcciones de email, nombres de usuario, contraseñas, fotografías y hasta mensajes de chat que, se suponía, eran privados. Todo almacenado en bases de datos en tiempo real que no pusieron impedimento a una petición ajena a las aplicaciones.

Dado que las bases de datos en tiempo real no quedan protegidas por autenticación, cualquier información almacenada es vulnerable a quienes realicen peticiones desde fuera de las apps afectadas

Apps como Creador de logos, AstroGuru, Screen Recorder, iFax o T'Leva demostraron ser vulnerables a peticiones no autorizadas: si tienes cualquiera de estas apps instaladas lo más recomendable es que las desinstales. CheckPoint comunicó su descubrimiento a los desarrolladores y también a Google. Varias de las apps se actualizaron tras el aviso de CheckPoint Research y actualmente no son vulnerables.

Más información | CheckPoint

Ver todos los comentarios en https://www.xatakandroid.com

VER 0 Comentario

Portada de Xataka Android