La multinacional Check Point Research (CPR) informó que ha encontrado expuestos datos sensibles de una serie de aplicaciones, disponibles para cualquier persona con un navegador.
En este sentido, buscando en «VirusTotal», los investigadores han identificado 2.113 aplicaciones móviles cuyas bases de datos estaban sin protección a lo largo de una investigación de tres meses. VirusTotal, una filial de Google, es una herramienta online gratuita que analiza archivos y URLs para detectar virus, troyanos y otras formas de malware.
Las aplicaciones móviles oscilan entre las 10.000 y 10.000.000 de descargas. Entre la información sensible se encontraban mensajes de chat en populares aplicaciones de citas, fotos personales y de familia, identificaciones de tokens en una aplicación de salud, datos de plataformas de intercambio de criptomonedas, entre otros. Check Point Research advierte que es muy sencillo localizar conjuntos de datos y recursos críticos de las aplicaciones mediante la consulta de repositorios públicos, e insta a la industria a aplicar mejores prácticas de seguridad en la nube.
Las plataformas en la nube han cambiado la forma de trabajar de los desarrolladores y se han convertido en un estándar en el desarrollo de aplicaciones. Mientras escriben el código, invierten muchos recursos para reforzar una aplicación contra diversas formas de ataque. Sin embargo, los programadores pueden descuidar la configuración de la base de datos en la nube, dejándolas expuestas en tiempo real, lo que podría dar lugar a una brecha catastrófica si se explota.
A menudo, para hacer pruebas los diseñadores cambian manualmente las configuraciones bloqueadas y protegidas por defecto de las reglas de seguridad. Si se deja desbloqueada y desprotegida antes de lanzar la aplicación a producción, la base de datos queda abierta a cualquiera que pueda leer y escribir en ella.
Ivonne Pedraza, Territory Manager CCA de Check Point Software, aseveró que «en esta investigación se demuestra lo fácil que es localizar conjuntos de datos y recursos críticos que están abiertos en la nube para cualquiera que pueda acceder a ellos sencillamente navegando. Compartimos un método sencillo de cómo los ciberdelincuentes pueden hacerlo. La metodología consiste en buscar en repositorios públicos de archivos como VirusTotal aplicaciones móviles que utilicen servicios en la nube. Un atacante puede consultar la ruta completa al Back-end en la nube de una aplicación móvil. Por ello, mostramos algunos ejemplos de lo que pudimos encontrar allí nosotros. Todo está disponible para cualquiera. En definitiva, con esta investigación demostramos lo sencillo que es que se produzca una filtración o explotación de datos. La cantidad de datos que se encuentra al descubierto y que está a disposición de cualquiera en la nube es mucho más fácil de vulnerar de lo que pensamos».