Los datos de más de 100 millones de usuarios de Android podrían estar expuestos a piratas informáticos debido a una falla en la forma en que los dispositivos manejan la seguridad en la nube, según un informe emitido el jueves.
La firma de seguridad cibernética Check Point Research afirmó en el estudio que al menos 23 aplicaciones móviles populares contienen "configuraciones incorrectas" de servicios en la nube de terceros. La compañía dijo que los desarrolladores de algunas de las aplicaciones no verificaron si las medidas de seguridad diseñadas para evitar violaciones de datos estaban implementadas al sincronizar con servicios en la nube.
"Al no seguir las mejores prácticas al configurar e integrar servicios en la nube de terceros en aplicaciones, los datos privados de millones de usuarios quedaron expuestos", escribieron los investigadores.
"En algunos casos, este tipo de mal uso solo afecta a los usuarios, sin embargo, los desarrolladores también quedaron vulnerables. La mala configuración pone en riesgo los datos de los usuarios y los recursos internos del desarrollador, como el acceso a los mecanismos de actualización y el almacenamiento."
Los investigadores examinaron 23 aplicaciones de Android, incluida una aplicación de taxi, un creador de logotipos, una grabadora de pantalla, un servicio de fax y un software de astrología, y descubrieron que filtraban datos, incluidos registros de correo electrónico, mensajes de chat, información de ubicación, ID de usuario, contraseñas e imágenes.
Los expertos en ciberseguridad dicen que los desarrolladores deberían haber sido conscientes de las vulnerabilidades.
"Los desarrolladores tienden a pensar que los backends móviles están ocultos para los piratas informáticos", dijo Ray Kelly, ingeniero principal de seguridad de la empresa de seguridad cibernética WhiteHat Security, en una entrevista por correo electrónico.
"Los motores de búsqueda, como Google, no indexan estas API, lo que da una falsa sensación de seguridad cuando, de hecho, estos terminales móviles pueden ser tan vulnerables como cualquier otro sitio web".
Al no seguir las prácticas recomendadas al configurar e integrar servicios en la nube de terceros en las aplicaciones, se expusieron los datos privados de millones de usuarios.
Los desarrolladores están bajo presión para incorporar rápidamente nuevas funciones en su software, dijo Stephen Banda, gerente sénior de la firma de ciberseguridad Lookout, en una entrevista por correo electrónico.
"Para implementar el código rápidamente, las organizaciones confían en procesos de entrega de software automatizados para actualizar la funcionalidad, aplicar parches de seguridad para mantener las aplicaciones en la nube actualizadas", agregó.
"Avanzar a esta velocidad, incluso con buenas prácticas de gestión de cambios y seguridad implementadas, significa que todas las organizaciones corren el riesgo de introducir configuraciones incorrectas en sus aplicaciones en la nube".