Más de 20 apps de Android exponen datos de 100 millones de usuarios

Vulnerabilidad de datos de estas aplicaciones se dio por una mala configuración de los servicios en la nube, según investigación de ciberseguridad. Conoce de cuáles se trata.

Apps que solicitaban datos de registro, dejaban vulnerables direcciones, correos, fotos y más. Foto: pocket-lint
Apps que solicitaban datos de registro, dejaban vulnerables direcciones, correos, fotos y más. Foto: pocket-lint
Tecnología LR

Los datos personales de más de 100 millones de usuarios quedaron expuestos debido a una serie de configuraciones erróneas de servicios en la nube de terceros.

Los datos surgen de un análisis elaborado por la empresa de seguridad Check Point Research, que informó al respecto en un comunicado sobre el fallo de estas aplicaciones para Android.

Los investigadores de ciberseguridad vieron que era posible acceder a gran cantidad de información sensible, incluyendo direcciones de correo electrónico, contraseñas, chats privados, localización de dispositivos, identificadores de usuarios y mucho más.

“Servicios como el almacenamiento basado en la nube, las bases de datos en tiempo real, la analítica, y otros, están a un solo clic de ser integrados en las aplicaciones. Sin embargo, a la hora de crear su configuración y su contenido, los desarrolladores suelen pasar por alto la ciberseguridad”, se destaca en el comunicado.

Check Point Research detectó que los desarrolladores de 23 aplicaciones para Android no utilizaron mecanismo de autenticación de seguros. Entre ellas se encuentran la aplicación de taxi T’Leva, que cuenta con más de 50.000 descargas; la de astrología Astro Guru, con más de 10 millones de descargas; iFax, Logo Maker, Screen Recorder, entre otras no especificadas en el informe.

Algunas de las apps cuestionadas presentaban recopilación de datos personales sumamente vulnerables. Foto: Check Point Research.

“Si un ciberdelincuente consiguiera llegar a esta información, podría dar lugar a un borrado de servicios (es decir, intentar utilizar la misma combinación de nombre de usuario y contraseña en otros servicios), a un fraude y/o a una suplantación de identidad”, advirtieron los expertos.

Apps señaladas

En el informe, se detalla el caso de la aplicación T’Leva, en la cual los investigadores pudieron acceder a los mensajes de chat entre conductores y pasajeros. Incluso lograron recuperar los nombres completos de los usuarios, sus números de teléfono y sus ubicaciones, todo ello con una sola petición a la base de datos.

Así también, se encuentra la app iFax. “Con solo echar un vistazo a la app, un ciberdelincuente podría acceder a todos y cada uno de los documentos enviados por los 500.000 usuarios que la instalaron”, se destaca en el comunicado.

En cuanto a Screen Recorder, que se utiliza para grabar la pantalla del dispositivo del usuario, se menciona que con un rápido análisis del archivo de la aplicación, los investigadores pudieron acceder las claves de los usuarios que dan acceso a cada grabación almacenada.

Tras el descubrimiento, Check Point Research se puso en contacto con Google y con cada uno de los desarrolladores, antes de la publicación de este artículo. De hecho, algunas ya han cambiado su configuración, como indican desde la compañía de ciberseguridad.