Descubren más de 1800 aplicaciones de Android y iOS con problemas de seguridad
Los atacantes podrían acceder a los datos de usuarios almacenados en la nube de Amazon por culpa de brechas de seguridad presentes en casi 2000 apps
Un total de 1859 aplicaciones disponibles en iOS y en Android contienen graves vulnerabilidades que suponen un grave riesgo de seguridad. Así lo han detallado los expertos en ciberseguridad de Symantec, encargados de exponer la brecha que habría puesto en peligro los datos privados de usuarios y empresas.
La vulnerabiliddad está relacionada con tokens de acceso al servicio en la nube de Amazon Web Services. Al parecer, un 77% de las apps analizadas contenían las credenciales en su código, a la vista de posibles atacantes que podrían utilizarlas para acceder a servicios privados.
Una de las vulnerabilidades fue explotada para extraer datos de miles de clientes de un banco
Tal y como explican los investigadores, normalmente las credenciales de acceso de AWS son utilizadas para descargar los recursos necesarios para que la aplicación pueda cumplir con su cometido, incluyendo archivos de configuración o datos de autenticación de otros servicios.
El problema, es que las más de 1800 apps analizadas contaban con las credenciales embebidas directamente en el código. Y lo que es aún peor: más de la mitad de las aplicaciones utilizaban las mismas credenciales de acceso usadas por las apps de otras compañías y desarrolladores.
Para empeorar las cosas, el 47% de las aplicaciones identificadas contenían tokens de AWS válidos que otorgaban acceso completo a todos los archivos privados y depósitos de Amazon Simple Storage Service (S3) en la nube. Esto incluía archivos de infraestructura y copias de seguridad de datos, entre otros.
Tras analizar la vulnerabilidad, los investigadores detallaron el caso de una empresa que brinda a otras compañías una plataforma de comunicaciones a sus clientes así como un kit de desarrollo móvil, contaba con las claves de acceso embebidas en el código del SDK. Por esa razón, los datos de todos sus clientes quedaron expuestos, incluyendo datos corporativos y registros financieros pertenecientes a más de 15.000 empresas medianas y grandes.
Eso no es todo. En el caso de cinco aplicaciones pertenecientes a entidades bancarias, dirigidas al sistema operativo iOS, se pudieron obtener los datos de acceso biométrico de más de 300000 clientes.
A día de hoy, las compañías encargadas del desarrollo de las apps afectadas ya han sido notificadas por el equipo de investigadores. Lamentablemente, Symantec no ha compartido una lista con las aplicaciones afectadas por la vulnerabilidad.
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.