Hasta 185 millones de usuarios de 41 aplicaciones de Google Play Store están en riesgo de que algunos de sus datos personales, como su información bancaria, las credenciales de sus redes sociales y los contenidos de sus correos electrónicos y aplicaciones de mensajería instantánea, sean robados por medio de un conjunto de vulnerabilidades conocidas y explotadas en una red local de conexión a Internet, según informó un grupo de expertos en seguridad informática citados por Ars Technica. Los investigadores, de la Universidad Leibniz de Hannover y la Universidad Phillips de Marburg, en Alemania, lograron infiltrarse en las comunicaciones entre las aplicaciones y la Web, con lo que consiguieron monitorear y copiar los datos que el teléfono emitía y recibía. “Pudimos reunir […] credenciales de pago de PayPal, American Express y otros“, dijeron. Además, aseguran que “se filtraron credenciales de Facebook, correo electrónico y almacenamiento en la nube“. Aunque los investigadores no revelaron el nombre de las aplicaciones vulnerables, sí informaron que, entre otras, hay una app antivirus que aceptaba definiciones de malware fraudulentas, una aplicación para subir archivos a la nube que permitió revelar las credenciales de usuario y un sistema de mensajería instantánea que acepta cuentas de varias plataformas, el cual ha sido instalado entre 10 y 50 millones de veces y permitió el acceso a los números de teléfono de la agenda del usuario. Algunas de las vulnerabilidades son tan graves que, según la BBC, uno de los investigadores incluso consiguió “redirigir una solicitud de transferencia de fondos, mientras el usuario de la aplicación veía como si la transacción siguiera sin ningún cambio“. Ningún representante de Google se ha manifestado hasta el momento. Pese a lo delicada que pueda sonar una información como esta –sobre todo cuando las aplicaciones en problemas están instaladas en millones de dispositivos– al final se trata de una buena noticia. Es bueno que los investigadores estén un paso adelante de los criminales interesados en explotar estas vulnerabilidades para su propio beneficio, y este estudio pone una alerta sobre los desarrolladores, pues muchas de las fallas de seguridad son producto –según Ars Technica– de la “mala implementación” de los protocolos de encripción de datos por parte de los creadores de las aplicaciones. De acuerdo con Jon Oberheide, jefe de tecnología de la firma de seguridad móvil Duo Security, “esto debe hacer que los desarrolladores sean más conscientes de las deficiencias básicas de seguridad, las cuales no debieron haberse colado en un proceso respetable de QA [aseguramiento de la calidad]“.
Apps para Android son vulnerables al robo de datos, dice estudio
Publicado el 22 octubre 2012 por Davinci2411Hasta 185 millones de usuarios de 41 aplicaciones de Google Play Store están en riesgo de que algunos de sus datos personales, como su información bancaria, las credenciales de sus redes sociales y los contenidos de sus correos electrónicos y aplicaciones de mensajería instantánea, sean robados por medio de un conjunto de vulnerabilidades conocidas y explotadas en una red local de conexión a Internet, según informó un grupo de expertos en seguridad informática citados por Ars Technica. Los investigadores, de la Universidad Leibniz de Hannover y la Universidad Phillips de Marburg, en Alemania, lograron infiltrarse en las comunicaciones entre las aplicaciones y la Web, con lo que consiguieron monitorear y copiar los datos que el teléfono emitía y recibía. “Pudimos reunir […] credenciales de pago de PayPal, American Express y otros“, dijeron. Además, aseguran que “se filtraron credenciales de Facebook, correo electrónico y almacenamiento en la nube“. Aunque los investigadores no revelaron el nombre de las aplicaciones vulnerables, sí informaron que, entre otras, hay una app antivirus que aceptaba definiciones de malware fraudulentas, una aplicación para subir archivos a la nube que permitió revelar las credenciales de usuario y un sistema de mensajería instantánea que acepta cuentas de varias plataformas, el cual ha sido instalado entre 10 y 50 millones de veces y permitió el acceso a los números de teléfono de la agenda del usuario. Algunas de las vulnerabilidades son tan graves que, según la BBC, uno de los investigadores incluso consiguió “redirigir una solicitud de transferencia de fondos, mientras el usuario de la aplicación veía como si la transacción siguiera sin ningún cambio“. Ningún representante de Google se ha manifestado hasta el momento. Pese a lo delicada que pueda sonar una información como esta –sobre todo cuando las aplicaciones en problemas están instaladas en millones de dispositivos– al final se trata de una buena noticia. Es bueno que los investigadores estén un paso adelante de los criminales interesados en explotar estas vulnerabilidades para su propio beneficio, y este estudio pone una alerta sobre los desarrolladores, pues muchas de las fallas de seguridad son producto –según Ars Technica– de la “mala implementación” de los protocolos de encripción de datos por parte de los creadores de las aplicaciones. De acuerdo con Jon Oberheide, jefe de tecnología de la firma de seguridad móvil Duo Security, “esto debe hacer que los desarrolladores sean más conscientes de las deficiencias básicas de seguridad, las cuales no debieron haberse colado en un proceso respetable de QA [aseguramiento de la calidad]“.