Las aplicaciones maliciosas no son la única amenaza que pone en riesgo a los propietarios de teléfonos Android, pues los desarrolladores de aplicaciones legítimas también pueden cometer errores de configuración y dejar expuestos datos privados. Esto es precisamente lo que ha sucedido recientemente y que afecta a, nada más y nada menos, 100 millones de usuarios.
Un informe de la compañía de seguridad Check Point Research asegura que al menos 23 aplicaciones populares para Android contenían una serie de "configuraciones erróneas en los servicios en la nube de terceros". En algunos casos, indican, además de dejar fácilmente accesibles datos como mensajes, contraseñas, fotos y vídeos, los propios desarrolladores quedaron con la guardia baja ante posibles ataques.
Para comprender los alcances de este problema de seguridad, es preciso recordar que los servicios en la nube de terceros son ampliamente utilizados por diferentes aplicaciones Android para almacenar y sincronizar datos entre diferentes dispositivos. Si bien es útil para los desarrolladores, fallas en la configuración puede dejar los datos de los usuarios al alcance de los ciberdelincuentes.
El error de algunos desarrolladores de apps para Android
Check Point Research ha detectado que los desarrolladores de 23 aplicaciones para Android no utilizaron mecanismo de autenticación seguros. Entre ellas se encuentran la aplicación de taxi T'Leva, que cuenta con más de 50.000 descargas; la de astrología Astro Guru, con más de 10 millones de descargas; iFax, Logo Maker, Screen Recorder, entre otras no especificadas en el informe.
El equipo de investigación descubrió que en algunos casos, las credenciales de los usuarios se encontraban disponibles públicamente en la red. En otros, se pudo acceder al historial de chat de la aplicación Android, con números de teléfono y ubicación de los usuarios.
En el caso de la aplicación de grabación de pantalla y fax, por ejemplo, las imágenes y los vídeos de los usuarios no estaban correctamente protegidos, por lo que Check Point Research pudo acceder libremente a ese contenido. También encontraron errores en la implementación del servicio push. De esta forma, un atacante podría haber enviado notificaciones en nombre de la aplicación.
La compañía informó a los desarrolladores de los problemas de seguridad detectados en sus apps para Android. Actualmente algunos han corregido los errores. No obstante, insisten en que "si un actor malintencionado obtiene acceso a estos datos, podría potencialmente resultar en un acceso no autorizado a cuentas, fraude y robo de identidad".
