Docenas de aplicaciones populares de administración de archivos publicadas por un operador common de un sistema de administración de documentos en línea no encriptan las transferencias de archivos hacia y desde los dispositivos de los usuarios, exponiendo potencialmente los datos.
La firma de seguridad móvil Wandera, que descubrió el problema, lo describió como un impacto en 23 de 29 aplicaciones Cometdocs en la Application Keep de Apple. Cuatro de las aplicaciones restantes no convirtieron archivos como se afirma, y las otras dos no fueron aplicaciones de conversión de archivos. Una muestra aleatoria de 31 versiones de Android de las mismas aplicaciones que Cometdocs ha publicado en la tienda oficial de Participate in de Google mostró que también estaban filtrando archivos privados, Wandera dijo.
«Las aplicaciones Cometdocs están transfiriendo archivos sin usar cifrado (a través de http), brindando a los malos actores la oportunidad de almacenar en caché y recuperar los archivos», dijo el vendedor de seguridad en un informe el jueves. La falta de encriptación también brinda a los atacantes en la misma pink Wi-Fi que el usuario la oportunidad de acceder a los archivos a medida que se transmiten desde y hacia los servidores Cometdocs.
«Esta es la primera vez que veo documentos completos enviados a través de la crimson sin un cifrado seguro», dice Michael Covington, vicepresidente de producto de Wandera. Los malos actores y los espías casuales necesitan un esfuerzo mínimo para obtener documentos completos que se envían al servicio de conversión, dice. Aunque Wandera no ha realizado ninguna prueba aleatoria de otro computer software de gestión de documentos, es poco probable que muchos estén filtrando documentos completos como las aplicaciones Cometdocs, señala Covington.
Estas aplicaciones son un ejemplo de los riesgos que enfrentan las organizaciones cuando permiten que los empleados usen dispositivos móviles no administrados y aplicaciones no verificadas para fines relacionados con el trabajo. «Cuando los usuarios introducen aplicaciones y configuraciones de TI habilitadas personalmente en el lugar de trabajo sin comprender cómo funcionan, puede causar muchos dolores de cabeza a los profesionales de TI y seguridad», dice Covington.
Wandera dijo que había notificado a Cometdocs tres veces entre diciembre de 2019 y enero de 2020 sobre el problema, pero hasta ahora no ha recibido una respuesta. Cometdocs no respondió de inmediato a una solicitud de comentarios de Darkish Reading through.
Cometdocs se anuncia como un proveedor de aplicaciones que permiten a los usuarios de dispositivos móviles convertir documentos PDF a Phrase, Excel, PowerPoint, AutoCAD, HTML y otros formatos. La compañía afirma que sus aplicaciones también se pueden usar para crear documentos PDF desde una variedad de otros formatos, incluidos los que rara vez se usan, como Publisher y XPS.
Sus servicios incluyen el almacenamiento de documentos en la nube para los usuarios para que se pueda acceder a los archivos desde cualquier lugar. Las aplicaciones Cometdocs permiten a los usuarios iniciar sesión en Gmail, iCloud, DropBox, OneDrive y otros servicios populares de alojamiento de archivos y buscar archivos desde allí. O los usuarios pueden cargar archivos manualmente al servicio desde sus dispositivos móviles.
Cometdocs afirma que unos 3 millones de personas en todo el mundo actualmente usan su software program. La compañía ofrece una versión gratuita y de pago de su servicio de conversión de documentos.
Covington dice que las aplicaciones Cometdocs parecen ser ampliamente utilizadas por los empleados en entornos empresariales. «Me sorprendió sinceramente ver que Cometdocs es utilizado activamente por algunos de los clientes empresariales más grandes de Wandera», señala Covington. «De hecho, nuestros investigadores primero investigaron estas aplicaciones porque vimos una fuga de datos originada en uno de los dispositivos de nuestros clientes», dice.
Una razón de la popularidad de las aplicaciones de Cometdocs podría ser que muchas empresas no están equipadas con una herramienta de conversión de PDF aprobada por TI. Por lo tanto, es possible que los empleados simplemente vayan a las tiendas de aplicaciones móviles de Apple y Google e instalen algo que puedan usar para convertir archivos rápidamente. «
Asumen que un program tan basic no debería presentar ningún riesgo «, dice Covington.
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más suggestions
