HPE entre los líderes de almacenamiento de Gartner
Según la firma, las notificaciones push son una de las vulnerabilidades en configuración de apps de Android que generaron filtración.
No es la única: no sólo el almacenamiento en tiempo real y las notificaciones push han sido descuidadas por los desarrolladores de apps para Android: el crucial almacenamiento en nube también ha dado señale de problemas.
En este sentido, la reciente alerta de Check Point que advirtió sobre la filtración quizás de más de 100 millones de datos destaca que los desarrolladores de al menos 13 aplicaciones descuidaron las medidas de seguridad dejando brechas en el sistema.
Lo que hace más preocupante al reporte de la firma de ciberseguridad es que un exceso de co fianza (o celeridad) forma parte del problema descubierto.
Así, la producción en servicios de nube, un importante acelerador de la innovación y pilar fundamental del rico ecosistema de apps de Android ha generado que estos sientan que la nube es un escudo a prueba de fallos.
No es así. Su ingenuidad termina por exponer a millones de usuarios y levanta dudas hacia el siema cuando se trata, en realidad, de errores humanos.
Puntos para asegurar
Además de las fallas en la configuración de base de datos en tiempo real, Check Point identificó otras dos áreas que requieren de la atención de los desarrolladores para no generar brechas de seguridad:
Notificaciones push
El gestor de notificaciones push es uno de los servicios más utilizados en la industria de las aplicaciones móviles. Estos requerimientos se utilizan a menudo para anunciar:
- Nuevos contenidos disponibles
- Mostrar mensajes de chat o correos electrónicos
- Advertir sobre actualizaciones del sistema
La mayoría de los servicios que utilizan notificaciones push requieren una clave (a veces, más de una) para reconocer la identidad de quien acepta la solicitud.
Cuando esas claves están incrustadas en el archivo, es muy fácil para los ciberdelincuentes tomar el control y enviarlas con enlaces o contenidos maliciosos a todos los usuarios en nombre del desarrollador.
Es de suponer que como el aviso procede de la app oficial, los usuarios asumirían que la alerta es legítima.
Almacenamiento en la nube
El almacenamiento en la nube de las apps de Android es una práctica que se ha disparado en los últimos años. Permite el acceso a archivos compartidos por el desarrollador o por la aplicación instalada:
- Con más de 10 millones de descargas, “Screen Recorder” se utiliza para grabar la pantalla del dispositivo del usuario y almacenar las grabaciones en un servicio en la nube. Si bien el acceso a las grabaciones a través de este sistema es una característica útil, puede ser grave si se salvaguardan las contraseñas privadas de los usuarios en el mismo servicio que almacena los vídeos.
- Por su parte, “iFax”, no sólo tenía los datos de acceso de almacenamiento en la nube incrustadas en la aplicación, sino que también guardaba allí todas las transmisiones de fax. Con solo echar un vistazo la app, un ciberdelincuente podría acceder a todos y cada uno de los documentos enviados por los 500.000 usuarios que la instalaron.
Cabe destacar que Check Point Research asegura que entró en contacto con Google justo después del descubrimiento de datos filtrados.
También con cada uno de los desarrolladores de las aplicaciones móviles comprometidas por lo que muchos de estos fallos fueron ya corregidos, incluso antes de la emisión de la alerta.
