Contraseñas y mensajes privados de 100 millones de usuarios, en peligro

Publicado el

android

Continúan las malas noticias en materia de seguridad, y en este caso volvemos al mundo android y a un puñado de aplicaciones populares que decidieron guardar los datos confidenciales de sus usuarios de una forma bastante irresponsable.

Ha sido CheckPoint la que ha detectado que varias aplicaciones que suman más de 100 millones de descargas, incluyendo algunas como Creador de logos, AstroGuru, Screen Recorder o iFax, han estado guardando datos sensibles de los usuarios, icnluyendo emails, contraseñas, fotos y mensajes, de forma insegura.

CheckPoint Research indica que estas apps están guardando la información en bases de datos de forma poco profesional, sin cifrar los datos, de forma que cualquier atacante puede acceder a información sensible simplemente haciendo una consulta en la base de datos de dichas apps.

Si no se protege el acceso a las bases de datos, los atacantes pueden analizar las urls responsables por las consultas e imitarlas, o interceptar las peticiones, algo que no es muy difícil de hacer.

De esta forma los investigadores lograron obtener contenido privado sin que las apps lo detectaran, sin recibir un bloqueo, y toda la información estaba en texto libre, perfectamente visible para cualquier curioso.

Son bases de datos en tiempo real, y no están protegidas por autenticación. Se actualizan y consultan varias veces por segundo por parte de la app, pero permiten obtener peticiones desde fuera de las mismas.

CheckPoint ya ha avisado del problema a los comunicadores y a Google, por lo que las apps están comenzando ya a actualizar su código para cumplir con las normas del sentido común.

Comparte en: