Cómo sus datos personales pueden quedar expuestos por aplicaciones móviles mal configuradas


Los desarrolladores de aplicaciones no están configurando y asegurando correctamente el acceso a servicios de terceros, lo que pone en riesgo los datos de los usuarios, dice Look at Point Research.

punto-de-control-de-aplicaciones-móviles.jpg

Imagen: Look at Position

Esa aplicación móvil que ha estado usando podría estar exponiendo sus datos personales a las personas equivocadas, no por la forma en que está diseñada, sino por la forma en que aprovecha los servicios de terceros. Como se describe en un informe publicado el jueves, la firma de inteligencia de amenazas cibernéticas Verify Issue Exploration dijo que encontró que El acceso mal configurado a servicios de terceros en aplicaciones móviles puede exponer nombres de usuario, direcciones de correo electrónico e incluso contraseñas a actores malintencionados..

VER: Principales consejos de seguridad de Android (PDF gratuito) (TechRepublic)

El desafío es que las aplicaciones móviles de hoy dependen cada vez más de datos y servicios de terceros. Muchas aplicaciones acceden al almacenamiento basado en la nube, bases de datos en línea, análisis y otro contenido externo como parte de su funcionamiento regular. Y aunque los desarrolladores pueden ser diligentes con su propio código, pueden pasar por alto la seguridad y la configuración correctas necesarias para los servicios de terceros.

En su informe, Check out Point dijo que descubrió en los últimos meses que muchos desarrolladores de aplicaciones ponían en riesgo los datos de los usuarios al no seguir las mejores prácticas para integrar servicios de terceros. Y el problema no se limita solo a los datos del usuario. En muchos casos, los datos y los recursos internos de los desarrolladores también se pusieron en riesgo.

Aunque el equipo de investigación de la firma se centró en las aplicaciones de Android en Google Enjoy, el gerente de investigación móvil de Look at Place, Aviran Hazum, dijo que la compañía encontró que las aplicaciones de iOS también están en riesgo. El problema se centra en el desarrollo de una aplicación y no está relacionado con el sistema operativo del dispositivo.

Al observar las aplicaciones de Google Enjoy que acceden a bases de datos disponibles públicamente en tiempo true, Check out Place dijo que descubrió la exposición de ciertos datos confidenciales, como direcciones de correo electrónico, contraseñas, chats privados, ubicación del dispositivo e identificadores de usuario. Cualquier pirata informático que obtenga acceso a dichos datos podría cometer fraude o robo de identidad.

«Los desarrolladores de aplicaciones móviles a menudo utilizan bases de datos y almacenamiento de datos alojados en la nube, como AWS S3, para almacenar contenido para clientes móviles», dijo el evangelista técnico de Salt Security Michael Isbitski. «Dichos servicios en la nube brindan almacenamiento esencialmente ilimitado al que se puede acceder desde cualquier lugar, y que es perfecto para el mundo de la conectividad móvil. Para las aplicaciones de Android que investigó Verify Stage, descubrieron datos almacenados en la nube que no requerían autenticación y eran accesibles para cualquier persona. . «

VER: Kit de contratación: desarrollador de Android (TechRepublic High quality)

Para ilustrar sus afirmaciones, Check Position citó algunas aplicaciones específicas en Google Perform donde los investigadores pudieron acceder a los datos personales de los usuarios.

Una aplicación de astrología y horóscopo llamada Astro Guru con más de 10 millones de descargas incitó a los usuarios a ingresar sus nombres, fechas de nacimiento, géneros, ubicaciones, direcciones de correo electrónico y detalles de pago. Gran parte de esa información quedó expuesta ya que Look at Stage pudo encontrarla a través de una base de datos accesible en línea. En el lado positivo, Hazum dijo que Examine Level envió sus hallazgos a los desarrolladores de Astro Guru, quienes luego solucionaron el problema.

astro-guru-data-check-point.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/05/20/3ed95699-27fc-4344-9c71-296816dee086/resize /770x/eaeeeb32241210c5cee401ff6c9e1b9b/astro-guru-data-check-point.jpg

Ubicación, dirección de correo electrónico y archivo personal compartido en Astro Expert.

Imagen: Check out Stage

Una aplicación de impuestos llamada T&#39Leva con más de 50.000 instalaciones pidió a los usuarios que proporcionaran cierta información personal. Todo se capturó en una base de datos en tiempo authentic, lo que permitió a Test Issue acceder a mensajes de chat entre conductores y pasajeros y recuperar nombres completos, números de teléfono y ubicaciones de los usuarios.

tleva-data-check-point.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/05/20/7bf22346-0fab-4dc6-af89-e333f01dd865/resize/770x /6f9c63dd3b51ed95bc3a549bed235be2/tleva-data-check-point.jpg

Una charla privada entre un taxista y un pasajero en T&#39Leva.

Imagen: Check out Point

Una aplicación llamada Display screen Recorder registra la pantalla del dispositivo y almacena esas grabaciones en un servicio basado en la nube. La falla aquí es que los desarrolladores estaban incrustando las claves de acceso secretas al servicio, allanando el camino para que Test Position recuperara esas claves y obtuviera acceso a cada grabación.

Otra aplicación llamada iFax con 50.000 usuarios incrustó las claves de acceso a la nube y también almacenó todas las transmisiones de fax. Después de analizar la aplicación, Check out Level dijo que descubrió que un pirata informático podía acceder a todos los documentos enviados por fax por los usuarios.

«Para algunas de las aplicaciones de Android que examinó Check Level, los desarrolladores incorporaron claves de conexión para el almacenamiento en la nube de backend directamente en el código de la aplicación móvil», dijo Isbitski. «Es una mala práctica codificar y almacenar claves de acceso estáticas en una aplicación, que la aplicación a su vez utiliza para conectarse a las API de backend de una organización y a las API de terceros (basadas en la nube). El código compilado dentro de los binarios de aplicaciones móviles es mucho más legible de lo que muchos desarrolladores creen. Los descompiladores y desensambladores son abundantes, y los atacantes obtienen fácilmente estas claves de conexión «.

Muchos desarrolladores se dan cuenta de que almacenar claves de acceso a la nube en su aplicación es una mala práctica, según Check out Level. Pero en algunos casos, los desarrolladores intentaron «encubrir» el problema con trucos de codificación que en realidad no lo solucionaron.

Incluso cuando se codifica una aplicación con las mejores prácticas, pueden surgir problemas de seguridad. Para ayudar a los desarrolladores a buscar estos problemas, Verify Position les aconseja que utilicen un Servicio de reputación de aplicaciones móviles durante el proceso de desarrollo. Disponible en diferentes proveedores de seguridad, este tipo de servicio analiza y clasifica la seguridad y privacidad de una aplicación móvil.

Isbitski ofreció recomendaciones adicionales.

«Si opta por utilizar el almacenamiento en la nube como desarrollador, debe asegurarse de que cualquier content clave necesario para conectarse a dicho almacenamiento se mantenga seguro, y también debe aprovechar los mecanismos de encriptación y manage de acceso del proveedor de la nube para mantener los datos protegidos», Isbitski dicho. «Los desarrolladores de aplicaciones móviles deben utilizar la Mecanismos de almacenamiento de claves y llaveros de Android que están respaldados por el módulo de seguridad de components del dispositivo móvil. Los desarrolladores también deben hacer uso de la Mecanismos de cifrado de Android al almacenar otros datos confidenciales del lado del cliente «.

Los usuarios de aplicaciones móviles, sin embargo, enfrentan más dificultades para protegerse, según Hazum. Incluso un producto de seguridad móvil capaz de verificar los componentes de la infraestructura de una aplicación no evitará que los datos se carguen y expongan o, de lo contrario, la aplicación no funcionaría correctamente.

Hazum dijo que Look at Place se comunicó con Google para informar sus hallazgos, pero no recibió respuesta. La empresa también se puso en contacto con varios desarrolladores de aplicaciones, pero los creadores detrás de Astro Guru fueron los únicos en responder.

Ver también



Enlace a la noticia primary