Se encontraron aplicaciones populares de Android en Google Playstore con fugas de datos de usuario

Los investigadores de Checkpoint han descubierto 23 aplicaciones de Android de Playstore de Google, que exponen los datos confidenciales de los usuarios en línea. Algunas tienen millones de instalaciones, estas aplicaciones están filtrando los datos debido a servicios en la nube mal configurados, que almacenan la base de datos en tiempo real que los desarrolladores usan para transmitir y sincronizar datos entre los clientes.

Fugas de datos de aplicaciones populares de Android

Si bien es común que algunos desarrolladores independientes a menudo pasen por alto reglas de seguridad importantes mientras desarrollan sus aplicaciones, los desarrolladores establecidos que hacen lo mismo deberían avergonzarse. Investigadores en Checkpoint han detectado 23 aplicaciones de Android de Playstore de Google que exponen los datos confidenciales de sus usuarios.

Algunas de las aplicaciones como Astro Guru y Creador de logotipos tienen más de 10 millones de instalaciones en Playstore y filtran la PII de los usuarios como su nombres, direcciones de correo electrónico, fechas de nacimiento, mensajes de chat, ubicación, género, contraseñas, fotos, detalles de pago, números de teléfono, notificaciones automáticas. Junto con estos, algunas exposiciones también filtran las herramientas internas del desarrollador.

Por ejemplo, una aplicación llamada Grabador de pantalla tiene sus claves de almacenamiento en la nube expuestas, que pueden acceder a las capturas de pantalla de los usuarios desde su dispositivo. Esto es suficientemente intrigante ya que la aplicación tiene más de 10 millones de instalaciones en Playstore. Además, una aplicación llamada iFix tiene el mismo problema y expone las transmisiones de fax de los usuarios.

Aunque algunos desarrolladores ofuscaron la clave secreta con la codificación base64, sigue siendo inútil ya que la decodificación no está protegida. Los investigadores en esto dijeron: "Incluso si la aplicación no usa claves de texto sin cifrar, todo lo que se necesita es encontrar el fragmento de código que inicializa la interfaz del servicio en la nube, que en su mayoría recibe esas claves como parámetros y sigue su valor. Eventualmente, si las claves están integradas en la aplicación, obtendremos su valor.. "

Más de una docena de estas aplicaciones tienen más de 10 millones de instalaciones, por lo que es preocupante. Este incidente describe cuán extendido está el problema de que los desarrolladores sigan las prácticas de seguridad en la industria, a pesar de ver ataques cibernéticos regulares.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

En boligrafointeligente.com utilizamos cookies. Más información

Previous Next
Close
Test Caption
Test Description goes like this