Se ha descubierto que una mala configuración de los servicios en la nube en tiempo real de algunas aplicaciones permite acceder a datos sensibles de los usuarios; tales como direcciones de correo electrónico, mensajes privados, fotografías y hasta contraseñas. Esta configuración errónea se aplicó en ciertas apps Android que acumulan más de cien millones de descargas.
Para que una app ofrezca servicios a los usuarios necesita almacenar cierta información en una base de datos para así contrastarla de manera constante y descargar aquello que la persona necesite. Por ejemplo, una app de taxis requiere almacenar un nombre de usuario, la dirección o los métodos de pago; gestionándose toda esta información sensible mediante bases de datos en tiempo real para que el usuario no sufra demoras en las aplicaciones. El problema, tal y como descubrió CheckPoint Research, es que no todas las apps aseguran esas bases de datos tan vitales.
Bases de datos en tiempo real sin ningún sistema de protección
Información obtenida de una base de datos no protegida. Imagen de CheckPoint
Hemos de decir que el grave error de privacidad afecta a un número de aplicaciones reducido; sin que por ello se escapen aplicaciones con más de diez millones de descargas, como Creador de logos o AstroGuru. Según descubrieron investigadores de la agencia de seguridad CheckPoint, un atacante puede acceder a información sensible con sólo realizar una petición a la base de datos de estas apps.
Dado que las aplicaciones necesitan almacenar información en bases de datos, y que dichas apps requieren acceso constante a la información almacenada, los desarrolladores utilizan bases de datos en tiempo real para agilizar los procesos sin que las apps pierdan atractivo para los usuarios. El problema llega cuando no se protege el acceso a esas bases: con interceptar las peticiones, analizar las URLs y realizar una petición ajena enmascarando la web resulta posible obtener información sumamente delicada. Éste es un grave problema, tanto de privacidad como de seguridad.
Tal y como especifica CheckPoint, los investigadores lograron obtener direcciones de email, nombres de usuario, contraseñas, fotografías y hasta mensajes de chat que, se suponía, eran privados. Todo almacenado en bases de datos en tiempo real que no pusieron impedimento a una petición ajena a las aplicaciones.
Apps como Creador de logos, AstroGuru, Screen Recorder, iFax o T'Leva demostraron ser vulnerables a peticiones no autorizadas: si tienes cualquiera de estas apps instaladas lo más recomendable es que las desinstales. CheckPoint comunicó su descubrimiento a los desarrolladores y también a Google. Varias de las apps se actualizaron tras el aviso de CheckPoint Research y actualmente no son vulnerables.
Más información | CheckPoint
