AGENCIAS

Los datos personales de más de 100 millones de usuarios de móviles con Android han quedado expuestos a través de una serie configuraciones de seguridad erróneas de servicios en la nube de terceros en aplicaciones para este sistema operativo.

La información expuesta por estas bases de datos incluía correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos, lo cual, en manos de ciberdelincuentes, podría dar lugar a fraudes, hurto de identidad y robos de servicios, alertó la compañía de ciberseguridad Check Point en un comunicado.

El problema se debe a desarrolladores de apps que han dejado expuestos tanto sus propios datos como la información privada de millones de usuarios al no seguir buenas prácticas configurando e integrando los servicios en la nube de terceros en sus aplicaciones.

Las aplicaciones afectadas por la desconfiguración de sus bases de datos en tiempo real tienen una suma de más de 100 millones de descargas de dispositivos Android, y oscilan entre los 10,000 millones y las 10,000 instalaciones.

Una de las apps que presenta este error de configuración es ‘Astro Guru’, una popular aplicación de astrología, horóscopo y quiromancia con más de 10 millones de descargas, que exponía datos introducidos por sus usuarios para recibir predicciones.

A través de ‘T’Leva’, una aplicación de taxis con más de 50 mil descargas, los investigadores pudieron acceder a los mensajes de chat entre conductores y pasajeros y recuperar los nombres completos de los usuarios, sus números de teléfono y sus ubicaciones (destino y recogida), todo ello con una sola petición a la base de datos.

Otra aplicación vulnerable, con más de 10 millones de descargas, es ‘Screen Recorder’, que se utiliza para grabar la pantalla del dispositivo del usuario y almacenar las grabaciones en un servicio en la nube, y que exponía las claves que dan acceso a las grabaciones almacenadas.

Otro ejemplo es ‘iFax’, que no sólo tenía los datos de acceso de almacenamiento en la nube incrustadas en la aplicación, sino que también guardaba allí todas las transmisiones de fax. Con sólo echar un vistazo la app, un ciberdelincuente podría acceder a todos y cada uno de los documentos enviados por los 500,000 usuarios que la instalaron.

Tras el descubrimiento, Check Point Research se puso en contacto con Google y los desarrolladores. De hecho, algunos ya han cambiado su configuración, dijo la compañía de ciberseguridad.