Miles de aplicaciones móviles exponen datos en la nube

Desarrolladores experimentados que utilizan la nube para crear aplicaciones móviles suelen fortificar sus aplicaciones para protegerlas contra diferentes tipos de ataques. Sin embargo, un aspecto que a veces se pasa por alto en la protección de seguridad es la base de datos en la nube que hay detrás de una aplicación. Dichas bases de datos deben ser aseguradas para protegerse contra accesos indeseados. Y eso no siempre sucede, según Check Point Research, proveedor de inteligencia de amenazas cibernéticas.

Miles de aplicaciones móviles exponen datos en la nube - Seguridad | Imagen 1 Newsmatic

En un nuevo informe publicado el martes, Check Point afirmó haber descubierto miles de aplicaciones móviles que dejaron datos expuestos. Al analizar aplicaciones que utilizan la base de datos Firebase alojada en la nube, Check Point encontró 2.113 diferentes en las que los datos internos no estaban protegidos y eran accesibles para los hackers. Algunos de los datos expuestos incluían mensajes de chat en aplicaciones de juegos, archivos personales como fotos familiares, tokens de identificación para aplicaciones de salud y datos de plataformas de intercambio de criptomonedas.

Para su investigación, Check Point ejecutó una consulta en el servicio VirusTotal, que permite enviar archivos y aplicaciones para ver si contienen algún elemento malicioso. El servicio también permite buscar recursos no protegidos, como bases de datos en línea. A través de su consulta, los investigadores de Check Point encontraron bases de datos no seguras que utilizaban Firebase.

En un ejemplo, una aplicación de comercio electrónico había expuesto por error sus credenciales de API Gateway y claves de API, todos los cuales eran accesibles públicamente. En otro caso, una aplicación de fitness revelaba las coordenadas GPS e información de salud de sus usuarios.

Una aplicación de citas expuso más de 50.000 mensajes privados de sus clientes. Una aplicación utilizada para diseñar logotipos y gráficos reveló los nombres de usuario, contraseñas y direcciones de correo electrónico de 130.000 usuarios. Una aplicación para una plataforma de audio social expuso los detalles bancarios, números de teléfono y mensajes de chat de los usuarios.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Una aplicación de contabilidad para pymes reveló 280.000 números de teléfono asociados con al menos 80.000 nombres y direcciones de empresas. Y una aplicación lectora de PDF expuso claves privadas que podrían ayudar potencialmente a un hacker a conectarse a la red VPN de la empresa.

"Las configuraciones incorrectas en la nube son consecuencia de la falta de conciencia, políticas adecuadas y formación en seguridad, y su importancia se ve más acentuada y necesaria con el nuevo modelo de trabajo híbrido desde casa", dijo Check Point en su informe. "Las malas prácticas de seguridad pueden causar daños extensos, y están solo a un clic de ser resueltas."

Según Check Point, muchas aplicaciones móviles en desarrollo se cargan en plataformas como VirusTotal, porque los desarrolladores quieren asegurarse de que sus aplicaciones no sean marcadas como maliciosas. De todas las aplicaciones cargadas en VirusTotal, se detectó que más de 2.000 de ellas, aproximadamente el 5%, tenían bases de datos abiertas y accesibles.

Buscar aplicaciones y bases de datos no protegidas a través del sitio de VirusTotal, como lo hizo Check Point, no es un proceso fácil. Hacerlo requiere una cuenta de empresa paga y costosa de VirusTotal VT Enterprise, algo que una persona promedio no tendría. Pero hay otras formas de encontrar los datos expuestos.

"En este informe, tratamos a VirusTotal solo como un almacenamiento centralizado de las aplicaciones móviles que nos permite operar fácilmente con muchas aplicaciones y recopilar estadísticas", dijo Alexandra Gofman, investigadora de seguridad de Check Point. "Las miles de bases de datos que exponen datos sensibles son las bases de datos en la nube que utilizan las propias aplicaciones móviles. Entonces, teniendo una aplicación específica, ya sea de VirusTotal, Google Play Store o cualquier tienda de terceros, cualquier persona inexperta puede verificar si utiliza la base de datos Firebase en la nube y acceder fácilmente a todos los datos si la base de datos no está correctamente protegida".

Para ayudar a los desarrolladores que utilizan servicios basados en la nube a asegurarse de que sus bases de datos estén fortificadas, Check Point ofrece los siguientes consejos:

Cómo proteger tu computadora de los virus: métodos y consejos
  • Amazon Web Services: Para cumplir con AWS CloudGuard S3 Bucket Security, siga la regla específica de "Asegúrese de que los buckets de S3 no sean accesibles públicamente".
  • Google Cloud Platform: Asegúrese de que su base de datos de almacenamiento en la nube no sea accesible de forma anónima o pública, siguiendo una regla específica en la base de conocimientos de Google.
  • Microsoft Azure: Asegúrese de que la regla de acceso en red predeterminada para las cuentas de almacenamiento esté configurada para denegar la ID de la regla.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Miles de aplicaciones móviles exponen datos en la nube , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.