Los desarrolladores de aplicaciones no están configurando correctamente ni asegurando el acceso a los servicios de terceros. Lo que pone en riesgo los datos de los usuarios. Esas aplicaciones móviles que has estado utilizando podrían estar exponiendo tus datos personales a las personas equivocadas. No por la forma en que la aplicación está diseñada, sino por la forma en que se conecta a los servicios de terceros.

Las empresas de inteligencia sobre ciber-amenazas afirman que el acceso mal configurado a servicios de terceros en las aplicaciones móviles pueden exponer nombres de usuario, direcciones de correo electrónico e incluso contraseñas a agentes maliciosos.

¿Cuál es el problema?

El problema es que las aplicaciones móviles actuales dependen cada vez más de datos y servicios de terceros. Muchas aplicaciones acceden a tu almacenamiento en la nube, bases de datos en línea, análisis y otros contenidos externos como parte de su funcionamiento normal. Y, aunque los desarrolladores sean diligentes con su propio código, pueden pasar por alto la seguridad y la configuración adecuadas para los servicios de terceros.

En el informe señalan que en los últimos meses ha descubierto que muchos desarrolladores de aplicaciones ponen en riesgo los datos de los usuarios al no seguir las mejores prácticas de integración de servicios de terceros. Y el problema no se limita solo a los datos de los usuarios. En muchos casos, los datos y los recursos internos de los desarrolladores también se pusieron en riesgo.

Aunque el equipo de investigación de la firma se centró en las aplicaciones de Android en Google Play, también se encontró aplicaciones de iOS con el mismo tipo de riesgo. El problema se centra en el desarrollo de una aplicación y no está relacionado con el sistema operativo del dispositivo.

Al examinar las aplicaciones de Google Play que acceden a bases de datos públicas en tiempo real, se descubrió la exposición de ciertos datos sensibles como direcciones de correo electrónico, contraseñas, chats privados, ubicación del dispositivo e identificadores de usuario. Cualquier hacker que acceda a estos datos podría cometer un fraude o un robo de identidad.

¿Qué aplicaciones móviles vulneran tus datos?

Para ilustrar sus afirmaciones, citaron algunas apps específicas en Google Play en las que los investigadores pudieron acceder a datos personales de los usuarios.

Una aplicación de astrología y horóscopo llamada Astro Guru, con más de 10 millones de descargas, pedía a los usuarios que introdujeran sus nombres, fechas de nacimiento, géneros, ubicaciones, direcciones de correo electrónico y detalles de pago. Gran parte de esa información quedó expuesta, ya que los expertos pudieron encontrarla a través de una base de datos accesible en línea. En el lado positivo, se avisó de los hallazgos a los desarrolladores de Astro Guru, que luego arreglaron el problema.

Una aplicación de impuestos llamada T’Leva, con más de 50.000 instalaciones, pedía a los usuarios que proporcionaran cierta información personal. Toda ella fue capturada en una base de datos en tiempo real, lo que permitió a los investigadores acceder a los mensajes de chat entre conductores y pasajeros y recuperar los nombres completos, números de teléfono y ubicaciones de los usuarios.

Una aplicación llamada Screen Recorder graba la pantalla del dispositivo y almacena esas grabaciones en un servicio basado en la nube. El fallo en este caso es que los desarrolladores incrustaban las claves secretas de acceso al servicio, allanando el camino para que cualquiera pudiera recuperar esas claves y obtuviera acceso a cada grabación.

Otra aplicación llamada iFax, con 50.000 usuarios, incrustaba las claves de acceso a la nube y también almacenaba todas las transmisiones de fax. Tras analizar la aplicación, se concluyó que un hacker podía acceder a todos los documentos enviados por fax por los usuarios.

El código compilado en los binarios de las aplicaciones móviles es mucho más legible de lo que muchos desarrolladores creen. Los descompiladores y desensambladores son abundantes, y esas claves de conexión son fácilmente cosechadas por los atacantes.