VOLVER AL MENÚ INICIAL
inseguridades informáticas volver al  índice
esta comunicación contiene material comercial enviado por la empresa

CISCO
Más de 100 millones de datos de usuarios
al descubierto por una mala configuración
de los servicios de la nube
de aplicaciones Android

Los investigadores de Check Point Research han descubierto datos sensibles disponibles públicamente en bases de datos en tiempo real en 13 aplicaciones Android, con un número de descargas que oscila entre los 10.000 y los 10 millones

Algunas de las apps vulnerables son de temáticas que van desde la astrología hasta servicios de taxis, creación de logotipos pasando por grabación de pantalla y servicios de fax, que dejan a los usuarios y a los desarrolladores en situación de vulnerabilidad frente a los ciberdelincuentes

Buenos Aires, 26 de mayo, 2021
Tras examinar 23 aplicaciones para Android, Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha descubierto que los desarrolladores de aplicaciones móviles han dejado expuestos los datos personales de más de 100 millones de usuarios a través de una serie de configuraciones erróneas de servicios en la nube de terceros.
Dicha información incluía correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos, lo cual, en manos de ciberdelincuentes, podría dar lugar a fraudes, hurto de identidad y robos de servicios.

Las actuales soluciones basadas en la nube se han convertido en el nuevo referente para el desarrollo de aplicaciones móviles. Servicios como el almacenamiento basado en la nube, las bases de datos en tiempo real, la analítica y otros, están a un solo clic de ser integrados en las aplicaciones.
Sin embargo, a la hora de crear su configuración y su contenido, los desarrolladores suelen pasar por alto la ciberseguridad.

Los investigadores de Check Point Research han descubierto que, en los últimos meses, son muchos los desarrolladores de apps que no han tenido presentes las medidas de seguridad y, como consecuencia, han dejado expuestos tanto sus propios datos como la información privada de millones de usuarios al no seguir buenas prácticas configurando e integrando los servicios en la nube de terceros en sus aplicaciones.

Desconfiguración de las bases de datos en tiempo real

Las bases de datos en tiempo real son las que permiten a los creadores de apps almacenar información en la nube, para así asegurarse de que se sincronizan en tiempo real con todos los clientes conectados.
Este servicio resuelve uno de los problemas más comunes en el desarrollo, a la vez que asegura que la base de datos es compatible con todas las plataformas de los clientes. Sin embargo, ¿qué sucede si detrás de la misma no se configura la autenticación? La realidad es que esta falta de configuración no es nueva y sigue siendo muy común y afecta a millones de usuarios.

Al investigar el contenido de ciertas apps que estaban disponibles públicamente, los investigadores de Check Point Research comprobaron que era posible acceder a gran cantidad de información sensible, incluyendo direcciones de correo electrónico, contraseñas, chats privados, localización de dispositivos, identificadores de usuarios y mucho más.
Si un ciberdelincuente consiguiera llegar a esta información, podría dar lugar a un borrado de servicios (es decir, intentar utilizar la misma combinación de nombre de usuario y contraseña en otros servicios), a un fraude y/o a una suplantación de identidad.

Figura_1

Figura 1 - Algunas aplicaciones en Google Play con base de datos abierta en tiempo real

Figura_2

Figura 2 - Correo electrónico, contraseña, nombre de usuario e identificación de un usuario en Logo Maker

Por ejemplo, una de las apps que posee este error de configuración es “Astro Guru“, una popular aplicación de astrología, horóscopo y quiromancia con más de 10 millones de descargas.
Después de que los usuarios introduzcan sus datos personales, como el nombre, la fecha de nacimiento, el sexo, la ubicación, el correo electrónico y las credenciales de pago, Astro Guru les proporciona un informe personal de predicción de astrología y horóscopo.

Almacenar información personal es una cosa, pero ¿qué pasa con el almacenamiento de datos en tiempo real? Para eso está y sirve este tipo de herramienta en tiempo real. A través de T'Leva, una aplicación de taxis con más de cincuenta mil descargas, los investigadores de Check Point Research pudieron acceder a los mensajes de chat entre conductores y pasajeros y recuperar los nombres completos de los usuarios, sus números de teléfono y sus ubicaciones (destino y recogida), todo ello con una sola petición a la base de datos.

Notificaciones push

Por otro lado, es importante destacar el papel del gestor de notificaciones push, uno de los servicios más utilizados en la industria de las aplicaciones móviles. Estos requerimientos se utilizan a menudo para anunciar nuevos contenidos disponibles, mostrar mensajes de chat o correos electrónicos.
La mayoría de las prestaciones de notificaciones push requieren una clave (a veces, más de una) para reconocer la identidad de quien acepta la solicitud. Cuando esas claves están simplemente incrustadas en el propio archivo, es muy fácil para los ciberdelincuentes tomar el control y enviarlas con enlaces o contenidos maliciosos a todos los usuarios en nombre del desarrollador.

Por ejemplo, si una aplicación de un medio de comunicación enviara un aviso de noticias falsas a sus usuarios, redirigiéndolos a una página de phishing, es de suponer que como el aviso procede de la app oficial, los usuarios asumirían que la alerta es legítima.

Almacenamiento en la nube

El almacenamiento en la nube de las apps móviles es una práctica que se ha disparado en los últimos años. Permite el acceso a archivos compartidos por el desarrollador o por la aplicación instalada.
Algunos ejemplos de esta práctica son:

* Con más de 10 millones de descargas, “Screen Recorder“ se utiliza para grabar la pantalla del dispositivo del usuario y almacenar las grabaciones en un servicio en la nube. Si bien el acceso a las grabaciones a través de este sistema es una característica útil, puede haber graves implicaciones si se salvaguardan las contraseñas privadas de los usuarios en el mismo servicio que almacena los vídeos.
Con un rápido análisis del archivo de la aplicación, los investigadores de Check Point Research pudieron acceder las mencionadas claves que dan acceso a cada grabación almacenada.

* Por su parte, “iFax“, no sólo tenía los datos de acceso de almacenamiento en la nube incrustadas en la aplicación, sino que también guardaba allí todas las transmisiones de fax.
Con solo echar un vistazo la app, un ciberdelincuente podría acceder a todos y cada uno de los documentos enviados por los 500.000 usuarios que la instalaron.

Justo tras el descubrimiento, Check Point Research se puso en contacto con Google y con cada uno de los desarrolladores, antes de la publicación de este artículo. De hecho, algunas ya han cambiado su configuración.

Cómo protegerse de los ciberataques

El ataque a los dispositivos móviles puede producirse por diferentes medios. Esto incluye el peligro de las aplicaciones maliciosas, las ofensivas a nivel de red y la explotación de las vulnerabilidades de los terminales y del sistema operativo móvil de los mismos. A medida que los equipos móviles adquieren mayor protagonismo, los ciberdelincuentes les prestan más atención.
Como resultado de ello, las ciberamenazas contra estos aparatos se han vuelto más diversas. Una solución eficaz de protección frente a las amenazas móviles debe ser capaz de detectar y responder a una variedad de ataques diferentes y, al mismo tiempo, ofrecer una experiencia de usuario positiva.

Check Point Harmony Mobile es la solución líder en el mercado de Mobile Threat Defense (MTD) y Mobile App Reputation Service (MARS), que ofrece la más amplia gama de capacidades para proteger los dispositivos móviles y los datos que contienen.

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre amenazas ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recoge y analiza los datos de ciberataques globales almacenados en ThreatCloud para mantener a los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point Software están actualizados con las últimas protecciones.
El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, con las fuerzas del orden y con varios CERTs.

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para Gobiernos y empresas corporativas a nivel mundial.
La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas.
Infinity se compone de tres pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente la nube; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva del sector.
Check Point Software protege a más de 100.000 empresas de todos los tamaños.(c)2021 Check Point Software Technologies Ltd. Todos los derechos reservados.


Editado y corregido por Rubén Borlenghi sobre material provisto por Brand Partners para Check Point. Imágenes y logotipos propiedad de la empresa mencionada. Prohibida la reproducción sin citar esta fuente.

para más novedades, varias veces por día, pasar por Twitter: ruben_borlenghi




actualizado junio 2021


Derechos de propiedad intelectual: queda prohibida la reproducción de los textos e imágenes de este sitio web sin autorización escrita de los autores o empresas involucradas.

Comentarios por problemas técnicos de este sitio web, al Webmaster. Gracias.

Copyrights legal statement: Reproduction, in whole or in part, of any content of this website, including texts and images, is strictly forbidden without written permission from the authors or commercial parties involved.

Comments on technical problems to the Webmaster. Thanks!