Un error dejó expuestos chats, contraseñas y fotos de millones de usuarios de Android

La falla dejó expuestos los datos personales volcados en las aplicaciones que utilizan más de 100 millones de usuarios del sistema operativo Android
26 de mayo 2021 · 13:34hs

Tras examinar 23 aplicaciones para Android, Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, descubrió que los desarrolladores de aplicaciones móviles dejaron expuestos los datos personales de más de 100 millones de usuarios a través de una serie de configuraciones erróneas de servicios en la nube de terceros. Dicha información incluía correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos, lo cual, en manos de ciberdelincuentes, podría dar lugar a fraudes, hurto de identidad y robos de servicios.

Las actuales soluciones basadas en la nube se convirtieron en el nuevo referente para el desarrollo de aplicaciones móviles. Servicios como el almacenamiento basado en la nube, las bases de datos en tiempo real, la analítica y otros, están a un solo clic de ser integrados en las aplicaciones. Sin embargo, a la hora de crear su configuración y su contenido, los desarrolladores suelen pasar por alto la ciberseguridad.

El motociclista atropelló y arrastró varios metros a la mujer, que posteriormente murió. 

Una enfermera murió tras ser atropellada y arrastrada varios metros por una moto

La joven junto a la torta en el dia de su cumpleaños que comenzó frustrado, pero terminó de otra manera.

Video: una joven invitó a su cumpleaños a sus amigos y no fue nadie, pero tuvo un festejo inusual

Los investigadores descubrieron que, en los últimos meses, son muchos los desarrolladores de apps que no tuvieron presentes las medidas de seguridad y, como consecuencia, dejaron expuestos tanto sus propios datos como la información privada de millones de usuarios al no seguir buenas prácticas configurando e integrando los servicios en la nube de terceros en sus aplicaciones.

Desconfiguración de las bases de datos en tiempo real

Las bases de datos en tiempo real son las que permiten a los creadores de apps almacenar información en la nube, para así asegurarse de que se sincronizan en tiempo real con todos los clientes conectados. Este servicio resuelve uno de los problemas más comunes en el desarrollo, a la vez que asegura que la base de datos es compatible con todas las plataformas de los clientes. Sin embargo, ¿qué sucede si detrás de la misma no se configura la autenticación? La realidad es que esta falta de configuración no es nueva y sigue siendo muy común y afecta a millones de usuarios.

Al investigar el contenido de ciertas apps que estaban disponibles públicamente, los investigadores de Check Point Research comprobaron que era posible acceder a gran cantidad de información sensible, incluyendo direcciones de correo electrónico, contraseñas, chats privados, localización de dispositivos, identificadores de usuarios y mucho más. Si un ciberdelincuente consiguiera llegar a esta información, podría dar lugar a un borrado de servicios (es decir, intentar utilizar la misma combinación de nombre de usuario y contraseña en otros servicios), a un fraude y/o a una suplantación de identidad.

Por ejemplo, una de las apps que posee este error de configuración es “Astro Guru”, una popular aplicación de astrología, horóscopo y quiromancia con más de 10 millones de descargas. Después de que los usuarios introduzcan sus datos personales, como el nombre, la fecha de nacimiento, el sexo, la ubicación, el correo electrónico y las credenciales de pago, Astro Guru les proporciona un informe personal de predicción de astrología y horóscopo.

Almacenar información personal es una cosa, pero ¿qué pasa con el almacenamiento de datos en tiempo real? Para eso está y sirve este tipo de herramienta en tiempo real. A través de T'Leva, una aplicación de taxis con más de cincuenta mil descargas, los investigadores pudieron acceder a los mensajes de chat entre conductores y pasajeros y recuperar los nombres completos de los usuarios, sus números de teléfono y sus ubicaciones (destino y recogida), todo ello con una sola petición a la base de datos.

Notificaciones push

Por otro lado, es importante destacar el papel del gestor de notificaciones push, uno de los servicios más utilizados en la industria de las aplicaciones móviles. Estos requerimientos se utilizan a menudo para anunciar nuevos contenidos disponibles, mostrar mensajes de chat o correos electrónicos. La mayoría de las prestaciones de notificaciones push requieren una clave (a veces, más de una) para reconocer la identidad de quien acepta la solicitud. Cuando esas claves están simplemente incrustadas en el propio archivo, es muy fácil para los ciberdelincuentes tomar el control y enviarlas con enlaces o contenidos maliciosos a todos los usuarios en nombre del desarrollador.

Por ejemplo, si una aplicación de un medio de comunicación enviara un aviso de noticias falsas a sus usuarios, redirigiéndolos a una página de phishing, es de suponer que como el aviso procede de la app oficial, los usuarios asumirían que la alerta es legítima.

Almacenamiento en la nube

El almacenamiento en la nube de las apps móviles es una práctica que se ha disparado en los últimos años. Permite el acceso a archivos compartidos por el desarrollador o por la aplicación instalada. Algunos ejemplos de esta práctica son:

  • Con más de 10 millones de descargas, "Screen Recorder" se utiliza para grabar la pantalla del dispositivo del usuario y almacenar las grabaciones en un servicio en la nube. Si bien el acceso a las grabaciones a través de este sistema es una característica útil, puede haber graves implicaciones si se salvaguardan las contraseñas privadas de los usuarios en el mismo servicio que almacena los vídeos. Con un rápido análisis del archivo de la aplicación, los investigadores de Check Point Research pudieron acceder las mencionadas claves que dan acceso a cada grabación almacenada.

  • Por su parte, "iFax", no sólo tenía los datos de acceso de almacenamiento en la nube incrustadas en la aplicación, sino que también guardaba allí todas las transmisiones de fax. Con solo echar un vistazo la app, un ciberdelincuente podría acceder a todos y cada uno de los documentos enviados por los 500.000 usuarios que la instalaron.

Cómo protegerse de los ciberataques

El ataque a los dispositivos móviles puede producirse por diferentes medios. Esto incluye el peligro de las aplicaciones maliciosas, las ofensivas a nivel de red y la explotación de las vulnerabilidades de los terminales y del sistema operativo móvil de los mismos. A medida que los equipos móviles adquieren mayor protagonismo, los ciberdelincuentes les prestan más atención. Como resultado de ello, las ciberamenazas contra estos aparatos se han vuelto más diversas. Una solución eficaz de protección frente a las amenazas móviles debe ser capaz de detectar y responder a una variedad de ataques diferentes y, al mismo tiempo, ofrecer una experiencia de usuario positiva.

Ver comentarios

Las más de leídas

Me mandó a matar Lucho Cantero, el mensaje de WhatsApp de una víctima antes de morir

"Me mandó a matar Lucho Cantero", el mensaje de WhatsApp de una víctima antes de morir

Micropack cierra sus puertas este viernes por el fallecimiento de su fundadora

Micropack cierra sus puertas este viernes por el fallecimiento de su fundadora

Rancagua, el pueblo de 700 habitantes que se transformó en noticia nacional

Rancagua, el pueblo de 700 habitantes que se transformó en noticia nacional

La rosarina Silvina Luna se suma a Divas Play y lo anuncia con un video muy hot

La rosarina Silvina Luna se suma a Divas Play y lo anuncia con un video muy hot

Lo último

Más del 70% de las panaderías de Rosario están adheridas a Billetera Santa Fe

Más del 70% de las panaderías de Rosario están adheridas a Billetera Santa Fe

El dólar blue trepa en medio de la tensa negociación con el FMI

El dólar blue trepa en medio de la tensa negociación con el FMI

Guzmán: Queremos un acuerdo pero se necesita más tiempo para pagar

Guzmán: "Queremos un acuerdo pero se necesita más tiempo para pagar"

Kentucky: en el edificio incendiado había obras de Berni, Soldi y Castagnino

Sin saber aún qué originó el fuego, el administrador del barrio espera que se concluyan los peritajes para empezar su reconstrucción. En el piso superior, que quedó muy dañado, había importantes trabajos pictóricos. Los de la planta baja se salvaron

Kentucky: en el edificio incendiado había obras de Berni, Soldi y Castagnino

Por Delcia Karamoschon

Hay más kilómetros de ciclovías, pero no garantizan la seguridad de los ciclistas

Por María Noel Do

La Ciudad

Hay más kilómetros de ciclovías, pero no garantizan la seguridad de los ciclistas

La Ciudad

Cuatro rosarinos crearon una startup que está entre las mejores 5 del mundo

Por María Laura Favarel

Lucho me mando a pegar, denuncialo, las últimas palabras de la víctima de un crimen imputado al hijo del Pájaro Cantero

Por Leo Graciarena

POLICIALES

"Lucho me mando a pegar, denuncialo", las últimas palabras de la víctima de un crimen imputado al hijo del "Pájaro" Cantero

En dos semanas se duplicó la cantidad de casos activos de Covid en Rosario

Por Tomás Barrandeguy

La Ciudad

En dos semanas se duplicó la cantidad de casos activos de Covid en Rosario

Espionaje: las tribus del PJ optan por el silencio ante una causa resbaladiza

Por Mariano D'Arrigo

Exclusivo suscriptores

Espionaje: las tribus del PJ optan por el silencio ante una causa resbaladiza

Dejanos tu comentario
Las más leídas
Me mandó a matar Lucho Cantero, el mensaje de WhatsApp de una víctima antes de morir

"Me mandó a matar Lucho Cantero", el mensaje de WhatsApp de una víctima antes de morir

Micropack cierra sus puertas este viernes por el fallecimiento de su fundadora

Micropack cierra sus puertas este viernes por el fallecimiento de su fundadora

Rancagua, el pueblo de 700 habitantes que se transformó en noticia nacional

Rancagua, el pueblo de 700 habitantes que se transformó en noticia nacional

La rosarina Silvina Luna se suma a Divas Play y lo anuncia con un video muy hot

La rosarina Silvina Luna se suma a Divas Play y lo anuncia con un video muy hot

¿Llegará esta vez? Alerta nivel amarillo por tormentas y lluvias para Rosario

¿Llegará esta vez? Alerta nivel amarillo por tormentas y lluvias para Rosario

Ovación
Central sigue rodando la novela Komar

Por Mariano Bereznicki

Ovación

Central sigue rodando la novela Komar

Central sigue rodando la novela Komar

Central sigue rodando la novela Komar

Newells: la llegada del delantero sigue con luz amarilla

Newell's: la llegada del delantero sigue con luz "amarilla"

Newells nunca perdió un amistoso frente al patrón

Newell's nunca perdió un amistoso frente al patrón

Policiales
Lucho me mando a pegar, denuncialo, las últimas palabras de la víctima de un crimen imputado al hijo del Pájaro Cantero

Por Leo Graciarena

POLICIALES

"Lucho me mando a pegar, denuncialo", las últimas palabras de la víctima de un crimen imputado al hijo del "Pájaro" Cantero

Un FAL exhibido en la foto con un trapero en manos de cuatro jóvenes detenidos

Un FAL exhibido en la foto con un trapero en manos de cuatro jóvenes detenidos

Lo buscaban por violencia de género y tenía un poderoso arsenal

Lo buscaban por violencia de género y tenía un poderoso arsenal

Dos sicarios atacaron a varios jóvenes en la zona norte de la ciudad y uno fue herido de gravedad

Dos sicarios atacaron a varios jóvenes en la zona norte de la ciudad y uno fue herido de gravedad

La Ciudad
Más del 70% de las panaderías de Rosario están adheridas a Billetera Santa Fe
LA CIUDAD

Más del 70% de las panaderías de Rosario están adheridas a Billetera Santa Fe

Sigue el calor y las temperaturas extremas cederán recién el lunes

Sigue el calor y las temperaturas extremas cederán recién el lunes

Hay más kilómetros de ciclovías, pero no garantizan la seguridad de los ciclistas

Hay más kilómetros de ciclovías, pero no garantizan la seguridad de los ciclistas

El femicidio de Melani, la precariedad de la vida y el deseo de autonomía

El femicidio de Melani, la precariedad de la vida y el deseo de autonomía

Nicki Nicole será jurado en un reality que busca a la nueva estrella de la música urbana
ESCENARIO

Nicki Nicole será jurado en un reality que busca a la nueva estrella de la música urbana

Rancagua, el pueblo de 700 habitantes que se transformó en noticia nacional

Por Nahir Saieg

Información General

Rancagua, el pueblo de 700 habitantes que se transformó en noticia nacional

Autotest covid: cuándo llega a Rosario, cuánto costará y de qué marca es
Pandemia

Autotest covid: cuándo llega a Rosario, cuánto costará y de qué marca es

Lo buscaban por violencia de género y tenía un poderoso arsenal
POLICIALES

Lo buscaban por violencia de género y tenía un poderoso arsenal

Otro crimen en Rosario: mataron a balazos a un hombre en zona oeste
POLICIALES

Otro crimen en Rosario: mataron a balazos a un hombre en zona oeste

Grave amenaza en las oficinas del Servicio Penitenciario de Pellegrini y Alsina
POLICIALES

Grave amenaza en las oficinas del Servicio Penitenciario de Pellegrini y Alsina

Pérez se muestra como modelo a seguir en ambiente y producción
LA REGIÓN

Pérez se muestra como modelo a seguir en ambiente y producción

Piden la captura del iraní Rezai, pero no hay certezas de que esté en Moscú
Política

Piden la captura del iraní Rezai, pero no hay certezas de que esté en Moscú

El coronavirus no afloja en el país: 118.171 nuevos casos y otras 161 muertes en las últimas 24 horas
PANDEMIA

El coronavirus no afloja en el país: 118.171 nuevos casos y otras 161 muertes en las últimas 24 horas

Volvió el calor extremo y se registró otro récord de demanda de energía eléctrica
LA CIUDAD

Volvió el calor extremo y se registró otro récord de demanda de energía eléctrica

¿Llegará esta vez? Alerta nivel amarillo por tormentas y lluvias para Rosario
La ciudad

¿Llegará esta vez? Alerta nivel amarillo por tormentas y lluvias para Rosario

El dólar blue sigue rompiendo marcas históricas: cerró a 219 pesos
Economía

El dólar blue sigue rompiendo marcas históricas: cerró a 219 pesos

Jones Huala fue liberado este viernes en Chile
Política

Jones Huala fue liberado este viernes en Chile

Nueve de cada diez menores de 17 años en Santa Fe tienen al menos una dosis
Pandemia

Nueve de cada diez menores de 17 años en Santa Fe tienen al menos una dosis

Crimen de Joaquín Pérez: familiares denuncian que la causa no avanza
La ciudad

Crimen de Joaquín Pérez: familiares denuncian que la causa no avanza

Wado de Pedro: Argentina lleva adelante una etapa de fuerte recuperación económica
POLÍTICA

Wado de Pedro: "Argentina lleva adelante una etapa de fuerte recuperación económica"

Denuncian abandono y repudian vandalismo en la Quinta de Funes
La Región

Denuncian abandono y repudian vandalismo en la Quinta de Funes

Operativo en el sur de la ciudad: cuatro jóvenes iban en auto con un fusil FAL y 19 municiones
POLICIALES

Operativo en el sur de la ciudad: cuatro jóvenes iban en auto con un fusil FAL y 19 municiones

Bombardeo de cocaína desde una avioneta en un campo de Pergamino

Por Leo Graciarena

POLICIALES

Bombardeo de cocaína desde una avioneta en un campo de Pergamino

Coronavirus: Martorano no descartó la posibilidad de aplicar una cuarta dosis de la vacuna
Pandemia

Coronavirus: Martorano no descartó la posibilidad de aplicar una cuarta dosis de la vacuna