Código de backend de Check Point Research. Crédito: Investigación de Check Point
A pesar de las ventajas obvias de las soluciones modernas de desarrollo de aplicaciones móviles basadas en la nube, como el almacenamiento en la nube, la gestión de notificaciones, las bases de datos en tiempo real y el análisis, muchos desarrolladores de estas soluciones no tienen en cuenta los posibles riesgos de seguridad asociados con estas aplicaciones que están mal configurados. .
Recientemente, Check Point Research descubrió problemas de implementación y configuración incorrecta que expusieron los datos de 100 millones de usuarios de aplicaciones móviles. Este tipo de exposición pone tanto a los usuarios como a los archivos desarrolladores de aplicaciones expuestos a amenazas a la reputación y la seguridad. En este caso, los desarrolladores dejaron abiertos los administradores de notificaciones, las ubicaciones de almacenamiento y las bases de datos en tiempo real para permitir que los atacantes accedan a ellos, dejando así a 100 millones de usuarios vulnerables a los ataques.
En cuanto a las bases de datos en tiempo real, servicios en la nube puede ayudar a los usuarios de aplicaciones móviles a sincronizar sus datos con la nube en tiempo real. Sin embargo, si los desarrolladores no implementan este servicio correctamente con autenticación, teóricamente cualquier usuario puede acceder a esta base de datos, incluidos todos los datos de los clientes móviles. De hecho, los investigadores han expresado su sorpresa de que no enfrentan barreras para acceder a estas bases de datos abiertas para ciertas aplicaciones en Google Play. Algunos de los aspectos que se pudieron obtener en este caso incluyeron ubicaciones de dispositivos, direcciones de correo electrónico, contraseñas, conversaciones privadas e ID de usuario, entre otros. Tales vulnerabilidades ponen a todos estos usuarios en riesgo de fraude y robo de identidad.
De hecho, la popular aplicación de horóscopo Astro Guru es una aplicación con tales vulnerabilidades que potencialmente expone a todos los usuarios a la filtración de información personal (PII), como la fecha de nacimiento, la dirección de correo electrónico, el género y la ubicación, así como la información de pago, después de 10 registrados. millones de descargas.
Asimismo, la aplicación de taxi T’Leva, que ya cuenta con más de 50.000 instalaciones, permitió a los investigadores descargar los nombres completos de los usuarios, así como los números de teléfono y destinos y lugares de recogida planificados, enviando solo una solicitud a Base de datos.
Posteriormente, los investigadores también encontraron que incluso el administrador de notificaciones push se había vuelto vulnerable a los ataques. Esto significa que cualquier actor malintencionado que pueda acceder al administrador puede enviar notificaciones de usuario en nombre del desarrollador.
Además, almacenar estas aplicaciones móviles en la nube representa un riesgo particular para los usuarios, ya que el equipo de investigación también descubrió que muchos desarrolladores dejaron expuestas tanto las claves de acceso como las claves secretas para los datos almacenados en la aplicación Screen Recorder. Aparentemente, un análisis superficial del archivo de la aplicación permitió a los investigadores recuperar estas claves y acceder a las grabaciones de los usuarios.
Finalmente, la investigación ha demostrado que el malware CopyCat también tiene la capacidad de recuperar claves en caso de una emergencia. almacenamiento en la nube servicios mostrando cómo los programadores malintencionados también pueden aprovechar estas vulnerabilidades.
Hazum, A. et al. “La mala configuración de los servicios de terceros por parte de los desarrolladores de aplicaciones móviles deja más de 100 millones de información personal expuesta”. Check Point Research, Check Point Research, 20 de mayo de 2021, research.checkpoint.com/2021/m… 100 millones de exposiciones /.
© 2021 Science X Network