3 millones de descargas y un malware con poderes sensibles: descubren 32 apps peligrosas para los usuarios

Una API propietaria tiene una vulnerabilidad que permite acceder y modificar datos sensibles del usuario en 32 aplicaciones que no han trascendido.

3 millones de descargas y un malware con poderes sensibles: descubren 32 apps peligrosas para los usuarios

La seguridad en Android nunca deja de ser un tema candente. Si hace poco hablábamos de más de 1800 aplicaciones de Android e iOS con problemas de seguridad, hoy seguimos abordando ese espinoso tema. No son tantas apps en esta ocasión, pero son un número suficiente de aplicaciones que pueden exponer datos sensibles del usuario.

La noticia nos llega desde Bleeping Computer, donde nos hablan de 32 apps con más de 3 millones de descargas que pueden ser peligrosas para la seguridad del usuario. En concreto, la API que usan todas ellas puede dar pie a que se acceda a información sensible del usuario, que se modifiquen datos de la app e incluso sus ajustes.

Estos son los detalles de la vulnerabilidad

3 millones de descargas y un malware con poderes sensibles: descubren 32 apps peligrosas para los usuarios

Apps en un terminal Android

Como decíamos, las apps afectadas usan la API Algolia. Esta API es una plataforma propietaria que sirve apra integrar motores de búsqueda con características de descubrimiento y recomendación en webs y aplicaciones usada por más de 11.000 empresas.

Algolia usa cinco claves API que se distribuyen en los apartados Admin, Búsqueda, Monitorización, Uso y Analytics. De esas claves, la única que es pública y cuyo código está disponible es Búsqueda, ya que permite que los usuarios realicen consultas en las apps.

Como cabría de esperar, la clave Admin es la que ofrece acceso a las otras cuatro y es la que permite, con los exploits adecuados, exponer datos que contengan detalles del dispositivo del usuario y de su acceso a la red, estadísticas de uso, archivos de búsqueda y manipular la información asociada.

La vulnerabilidad funciona de la siguiente manera:

  • El atacante accede a la clave Admin filtrada.
  • La clave Admin se usa para acceder diferentee claves predefinidas de las otras categorías.
  • Las claves API permiten al atacante acceder y modificar datos sensibles del usuario.
3 millones de descargas y un malware con poderes sensibles: descubren 32 apps peligrosas para los usuarios

Diagrama de la vulnerabilidad de la API Algolia

No se ha ofrecido información de cuáles son las 32 apps afectadas, salvo el número de veces que han sido descargadas y detalles de la categoría más proclive a tener claves expuestas, que son las apps de comercio y compras online. En total, estas se han descargado 2,3 millones de veces.

También se recoge que otras categorías afectadas son las aplicaciones de noticias, las que sirven para pedir comida y bebida a domiciliio, educativas, fitness, fotografía, estilo de vida, productividad, médicas y de negocios. Su volumen de descarga, no obstante, es mucho menor: 950.000 veces.

Desde la fuente se informa de que se ha contactado con todos los devs responsables de estas apps para alertarles, pero no se han comunicado de vuelta. Es de esperar que este problema se subsanará pronto.

Queremos saber tu opinión. ¡Comenta!
Para ti