Seguretat en aplicacions Android. A el menys 4000 podrien filtrar dades

Diego Germán González

4 minuts

Quan Apple va anunciar que els seus dispositius mòbils usarien una botiga d'aplicacions com a forma d'instal·lar programari, molts van creure que d'aquesta manera s'acabava amb gran part dels problemes de seguretat informàtica. Google va adoptar el mateix model per a Android i Microsoft el va portar a l'escriptori en Windows 8.

En realitat, la idea de Steve Jobs no era nova. Les botigues d'aplicacions no són altra cosa que els gestors de paquets que els usuaris de Linux veníem fent servir fa anys. I, tampoc és que hagi servit massa.

Fa uns dies, es va publicar l'informe d'un grup d'investigadors que va analitzar 515,735 aplicacions de Google Play, una mena de el 18% de les oferta disponible. D'aquestes, al menys 4.282 aplicacions tenien problemes de seguretat que permetria filtrar informació sensible. Si l'extrapolació fos vàlida, un total de 24000 aplicacions presentarien el mateix problema.

Totes les falles tenen un origen comú; una plataforma propietat de Google anomenat Firebase. Però, sembla no ser culpa de Google si no errors de configuració per part dels desenvolupadors.

Firebase és una plataforma mòbil que ajuda als usuaris a desenvolupar aplicacions de forma ràpida i segura. Ofereix una base de dades en temps real allotjada en el núvol que permet un fàcil emmagatzematge i sincronització de dades entre els usuaris.
Entre altres coses, la plataforma facilita als desenvolupadors eines per:

  • Autenticació.
  • Allotjament.
  • Emmagatzematge en el núvol.
  • Bases de dades en temps real.
  • Analítica.
  • Missatges.
  • Integració d'avisos.
  • Aprenentatge automàtic.

S'estima que Firebase és utilitzat per un 30 per cent de totes les aplicacions de Google Play Store, el que el converteix en la solució d'emmagatzematge més popular per a les aplicacions d'Android.

Seguretat en aplicacions Android. El problema en nombres

El 4,8% de les aplicacions per a mòbils que utilitzen Google Firebase per emmagatzemar les dades dels usuaris no estan degudament protegides, el que permite a qualsevol persona accedir a les bases de dades que contenen la informació personal dels usuaris, Als tokens d'accés ia altres dades sense necessitat d'una contrasenya o de qualsevol altre tipus d'autenticació.

Tot i que l'estudi es va enfocar les aplicacions per Android a Google Play Store, cal tenir en compte que Firebase és una eina multiplataforma que s'utilitza en diversos sistemes operatius i plataformes. Aquestes configuracions errònies probablement afectin moltes més aplicacions més enllà d'Android.

Les aplicacions amb problemes de seguretat identificades pels investigadors es van instal·lar a el menys 4.220 milions de vegades pels usuaris d'Android. Se sap que un telèfon intel·ligent té instal·lada entre 60 i 90 aplicacions, la qual cosa implica que cada un de nosaltres té una alta possibilitat de tenir al menys una aplicació vulnerable.

Per tenir una mostra de la magnitud de les exposicions, tenim aquestes dades:

  • +7000000 de comptes de correu electrònic.
  • +4400000 de noms d'usuari.
  • +1000000 de contrasenyes.
  • +5300000 de números de telèfons.
  • +18300000 de noms complets dels usuaris.
  • +6800000 de missatges de xat.
  • +6200000 dades de GPS.
  • +156000 adreces IP.
  • +560000 adreces de carrer.

De les 155.066 aplicacions analitzades, 11.730 tenien bases de dades exposades públicament. 9.014 d'elles fins i tot incloïen permisos de escriptura, que permetrien a un atacant afegir, modificar o eliminar dades de servidor, a més de veure'ls i descarregar-los.

  • Aquestes vulnerabilitats permetrien a delinqüents informàtics.
  • Injectar dades en una aplicació.
  • Usar les aplicacions per a pràctiques de pesca.
  • Difondre el malware.
  • Corrompre la base de dades de l'aplicació.

Per fer-li les coses més fàcils als delinqüents, aquestes bases de dades es poden trobar en els cercadors

El desembre passat, un investigador de seguretat descobrir que les bases de dades exposades de Google Firebase es podien hallaar en motors de cerca operat per altres empreses.

Alex «Ghostlulz» Thomas, investigador de seguretat independent i ex analista de l'empresa consultora de seguretat cibernètica Bishop Fox, va publicar al desembre una entrada al seu bloc en el qual demostrava com les bases de dades de Firebird mál configurades, podien trobar-se i descarregar-se. Només n'hi ha prou amb afegir .json a la fi de la URL per poder veure-les.

Com a usuaris podem prendre algunes mesures per protegir-nos:

  • No reutilitzar la mateixa contrasenya en diversos comptes. Es recomana usar un administrador de contrasenyes per generar i emmagatzemar contrasenyes aleatòries forts.
  • Utilitza només aplicacions fiables amb un alt nombre de revisions i instal·lacions.
  • No compartir informació personal privada, com adreces, fotos d'identificació de govern, números de seguretat social, etc.

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.