Seguridad en aplicaciones Android. Al menos 4000 podrían filtrar datos
Cuando Apple anunció que sus dispositivos móviles usarían una tienda de aplicaciones como forma de instalar software, muchos creyeron que de esa forma se terminaba con gran parte de los problemas de seguridad informática. Google adoptó el mismo modelo para Android y Microsoft lo llevó al escritorio en Windows 8.
En realidad, la idea de Steve Jobs no era nueva. Las tiendas de aplicaciones no son otra cosa que los gestores de paquetes que los usuarios de Linux veníamos usando hace años. Y, tampoco es que haya servido demasiado.
Hace unos días, se publicó el informe de un grupo de investigadores que analizó 515,735 aplicaciones de Google Play, algo así como el 18% de las oferta disponible. De esas, al menos 4.282 aplicaciones tenían problemas de seguridad que permitiría filtrar información sensible. Si la extrapolación fuera válida, un total de 24000 aplicaciones presentarían el mismo problema.
Todas las fallas tienen un origen común; una plataforma propiedad de Google llamado Firebase. Pero, parece no ser culpa de Google si no errores de configuración por parte de los desarrolladores.
Firebase es una plataforma móvil que ayuda a los usuarios a desarrollar aplicaciones de forma rápida y segura. Ofrece una base de datos en tiempo real alojada en la nube que permite un fácil almacenamiento y sincronización de datos entre los usuarios.
Entre otras cosas, la plataforma facilita a los desarrolladores herramientas para:
- Autenticación.
- Alojamiento.
- Almacenamiento en la nube.
- Bases de datos en tiempo real.
- Analítica.
- Mensajes.
- Integración de avisos.
- Aprendizaje automático.
Se estima que Firebase es utilizado por un 30 por ciento de todas las aplicaciones de Google Play Store, lo que lo convierte en la solución de almacenamiento más popular para las aplicaciones de Android.
Seguridad en aplicaciones Android. El problema en números
El 4,8% de las aplicaciones para móviles que utilizan Google Firebase para almacenar los datos de los usuarios no están debidamente protegidas, lo que permite a cualquier persona acceder a las bases de datos que contienen la información personal de los usuarios, a los tokens de acceso y a otros datos sin necesidad de una contraseña o de cualquier otro tipo de autenticación.
Aunque el estudio se enfocó las aplicaciones para Android en Google Play Store, hay que tener en cuenta que Firebase es una herramienta multiplataforma que se utiliza en varios sistemas operativos y plataformas. Estas configuraciones erróneas probablemente afecten a muchas más aplicaciones más allá de Android.
Las aplicaciones con problemas de seguridad identificadas por los investigadores se instalaron al menos 4.220 millones de veces por los usuarios de Android. Se sabe que un teléfono inteligente tiene instalada entre 60 y 90 aplicaciones, lo que implica que cada uno de nosotros tiene una alta posibilidad de tener al menos una aplicación vulnerable.
Para tener una muestra de la magnitud de las exposiciones, tenemos estos datos:
- +7000000 de cuentas de correo electrónico.
- +4400000 de nombres de usuario.
- +1000000 de contraseñas.
- +5300000 de números de teléfonos.
- +18300000 de nombres completos de los usuarios.
- +6800000 de mensajes de chat.
- +6200000 datos de GPS.
- +156000 direcciones IP.
- +560000 direcciones de calle.
De las 155.066 aplicaciones analizadas, 11.730 tenían bases de datos expuestas públicamente. 9.014 de ellas incluso incluían permisos de escritura, que permitirían a un atacante añadir, modificar o eliminar datos del servidor, además de verlos y descargarlos.
- Estas vulnerabilidades permitirían a delincuentes informáticos.
- Inyectar datos en una aplicación.
- Usar las aplicaciones para prácticas de phishing.
- Difundir el malware.
- Corromper la base de datos de la aplicación.
Para hacerle las cosas más fáciles a los delincuentes, esas bases de datos se pueden encontrar en los buscadores
En diciembre pasado, un investigador de seguridad descubrió que las bases de datos expuestas de Google Firebase se podían hallaar en motores de búsqueda operado por otras empresas.
Alex “Ghostlulz” Thomas, investigador de seguridad independiente y ex analista de la empresa consultora de seguridad cibernética Bishop Fox, publicó en diciembre una entrada en su blog en el que demostraba cómo las bases de datos de Firebird mál configuradas, podían encontrarse y descargarse. Solo basta con añadir .json al final de la url para poder verlas.
Como usuarios podemos tomar algunas medidas para protegernos:
- No reutilizar la misma contraseña en varias cuentas. Se recomienda usar un administrador de contraseñas para generar y almacenar contraseñas aleatorias fuertes.
- Usar sólo aplicaciones confiables con un alto número de revisiones e instalaciones.
- No compartir información personal sensible como direcciones, fotos de identificación del gobierno, números de seguro social, etc.