More Than 4,000 Android Apps are Reportedly Leaking User Passwords

4 Thousand Android Apps Leak Sensitive Information

Algunas personas pueden producir una larga lista de argumentos en contra del uso de Android, y puede apostar que la seguridad estará bastante cerca de la cima. Publicar aplicaciones en Google Play es mucho más fácil en comparación con la App Store de Apple, y los operadores de malware están aprovechando al máximo esto. A pesar de las numerosas campañas y las precauciones de seguridad que se implementaron como resultado, las aplicaciones maliciosas aún se escapan de vez en cuando, y a los usuarios de Android se les recuerda constantemente que tengan cuidado con el software que instalan y usan.

Sin embargo, un estudio reciente realizado por un equipo de investigadores de Comparitech muestra que no importa cuán vigilante esté, aún puede exponer sus datos. Según esto, gracias a algunos errores de configuración, se puede acceder a millones de registros guardados por miles de aplicaciones con una sola consulta de búsqueda, y esta vez, el problema no se limita a Android.

Miles de aplicaciones basadas en Firebase almacenan datos de usuarios en bases de datos desprotegidas

El equipo de expertos fue dirigido por Bob Diachenko, que quería aprender más sobre cómo los desarrolladores usan Firebase. Firebase es una plataforma de desarrollo de aplicaciones que brinda a los programadores una serie de herramientas para administrar aplicaciones móviles y web, incluidos mecanismos de autenticación y capacidades de mensajería en la nube. Diachenko estaba interesado en los mecanismos de almacenamiento de datos de Firebase.

La investigación comenzó con un poco más de medio millón de aplicaciones de Android. 155 mil de ellos se basaron en Firebase, y utilizó la API REST de la plataforma para acceder a los datos almacenados por las aplicaciones. Las bases de datos de 11,730 de las aplicaciones eran de acceso público y no estaban protegidas por una contraseña, y de ellas, 4,282 contenían información confidencial. Los datos filtrados incluyen, entre otras cosas:

  • 156 mil direcciones IP
  • 560 mil direcciones físicas
  • 1 millón de contraseñas
  • 4.4 millones de nombres de usuario
  • 5.3 millones de números telefónicos
  • 6.2 millones de registros que contienen datos GPS
  • 6.8 millones de mensajes de chat
  • 7 millones de direcciones de correo electrónico
  • 18,3 millones de nombres

Además de todo esto, algunos de los registros expuestos también contenían datos de tarjetas de crédito e incluso fotos de documentos de identificación.

Aún más preocupante, los datos se almacenan en formato JSON y Bing los indexa. En otras palabras, descargar una base de datos completa llena de información confidencial podría ser tan fácil como ingresar una consulta en el motor de búsqueda de Microsoft.

¿Qué tan grande es el problema exactamente?

Para enfatizar la gravedad de la situación, el equipo de Diachenko trató de poner los números en perspectiva. Las aplicaciones vulnerables comprenden menos del 1% de todas las aplicaciones que los expertos analizaron, lo que puede no parecer mucho, pero si asumimos que la tasa es la misma para toda la Play Store, llegaríamos a la conclusión de que alrededor de 24 miles de las aplicaciones ofrecidas en Google Play están filtrando datos confidenciales. Y si crees que esto no es tan malo, probablemente deberías considerar el hecho de que las 4,282 aplicaciones que Diachenko y su equipo analizaron tienen un conteo combinado de descargas de 4,22 mil millones.

El problema se extiende más allá de Google Play y Android. Los desarrolladores de aplicaciones basadas en web e iOS también usan Firebase, y solo podemos adivinar cuántos de ellos han cometido el mismo error de configuración.

Se instó a los creadores de las 4.282 aplicaciones vulnerables a proteger sus bases de datos después de que Diachenko revelara el problema a Google, y se aconseja a los desarrolladores de aplicaciones móviles que sean un poco más cuidadosos al configurar sus aplicaciones basadas en Firebase. Mientras tanto, se les dice a los usuarios que deben usar contraseñas únicas para todas sus cuentas y que no deben compartir demasiada información con las aplicaciones en sus teléfonos inteligentes. Desafortunadamente, en este caso particular, esto es todo lo que pueden hacer.

En Duran
May 13, 2020
News
Spanish
May 13, 2020
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.