Novedades Sobre NXnet

19/01/2017

Estudio revela que miles de apps de Android están expuestas a ataques por problemas en su codificación

2.500 tenían algún tipo de credencial secreta codificada en ellos, las cuales pueden ser vulneradas.

Muchos desarrolladores aún insertan tokens de acceso sensibles y claves de API en sus aplicaciones móviles, poniendo en riesgo los datos y otros activos almacenados en diversos servicios de terceros. Un nuevo estudio realizado por la firma de ciberseguridad Fallible en 16.000 aplicaciones Android reveló que unas 2.500 tenían algún tipo de credencial secreta codificada en ellos. Las aplicaciones fueron escaneadas con una herramienta en línea lanzada por la compañía en noviembre.

 Las claves de acceso codificadas para servicios de terceros en las aplicaciones se pueden justificar cuando el acceso que proporcionan es de alcance limitado. Sin embargo, en algunos casos, los desarrolladores incluyen claves que desbloquean el acceso a datos o sistemas sensibles que pueden ser abusados.

 Este fue el caso de 304 aplicaciones encontradas por Fallible que contenían tokens de acceso y claves API para servicios como Twitter, Dropbox, Flickr, Instagram, Slack o Amazon Web Services (AWS).

 Trescientas aplicaciones de 16.000 pueden no parecer mucho, pero, dependiendo de su tipo y los privilegios asociados con él, una sola credencial filtrada puede conducir a una violación masiva de datos. El año pasado, los investigadores de la firma de seguridad de sitios web Detectify encontraron más de 1.500 tokens de acceso de la plataforma Slack que habían sido codificados en los proyectos de código abierto alojados en GitHub.

 Las claves de acceso a AWS también se han encontrado dentro de los proyectos de GitHub en el pasado, forzando a Amazon a comenzar a escanear de forma proactiva esas filtraciones y a revocar las claves expuestas. Incluso, algunas de las claves encontradas en las aplicaciones de Android analizadas tenían privilegios completos que permitían crear y eliminar instancias, aseguraron los investigadores de Fallible.

 Esta no es la primera vez que se encuentran claves API, tokens de acceso y otras credenciales secretas dentro de las aplicaciones para móviles. En 2015, investigadores de la Universidad Técnica de Darmstadt, Alemania, descubrieron más de 1.000 credenciales de acceso para los frameworks Backend-as-a-Service (BaaS) almacenados en aplicaciones Android e iOS. Esas credenciales desbloqueaban el acceso a más de 18,5 millones de registros de bases de datos que contenían 56 millones de elementos de datos que los desarrolladores de aplicaciones almacenaban en proveedores BaaS, como Parse, CloudMine o AWS.

android expuesto