En las últimas horas se ha descubierto que una configuración
incorrecta en los servicios en la nube de algunas aplicaciones Android permite
acceder a datos de los usuarios, principalmente direcciones de correo
electrónico, mensajes privados, fotografías y contraseñas. Esta configuración
se ha aplicado en ciertas aplicaciones Android que acumulan más de cien
millones de descargas.
Esto se debe que las aplicaciones necesitan almacenar
información en bases de datos para poder ofrecer servicios a los usuarios,
además de poder contrastarla de manera constante. Por ejemplo, una app de pedir
comida podría requerir la dirección del usuario y su correo electrónico.
Afortunadamente, este error solamente se ha encontrado en un
número reducido de aplicaciones, como Creador de Logos, AstroGuru,
ScreenRecorder, iFax o T’Leva, según han descubierto los investigadores de la
agencia CheckPoint. Estos investigadores han logrado extraer direcciones de
email, contraseñas, nombres de usuario, fotografías y mensajes de chat.
Dado que estas aplicaciones almacenan información en bases
de datos y estas apps acceden constantemente a información para agilizar la
experiencia del usuario, el problema llega cuando no se protegen estos accesos.
Se pueden interceptar las peticiones, analizarlas y posteriormente se puede
acceder a la información.
Por último, CheckPoint comunicó el descubrimiento a
los desarrolladores de las aplicaciones y a Google. Los desarrolladores tras el
aviso han revisado sus aplicaciones y las han actualizado, superando esta
vulnerabilidad.