Encontrados accesos sensibles en 300 aplicaciones de Android
Las credenciales han proporcionado acceso a cuentas de Amazon Web Services, Slack, Dropbox y Twitter, entre otras.
A día de hoy, muchos desarrolladores aún insertan claves API e identificadores de acceso sensibles en sus aplicaciones móviles, poniendo en riesgo la información y otros activos almacenados en diversos servicios de terceros.
Un nuevo estudio realizado por la firma de ciberseguridad Fallible en 16.000 aplicaciones de Android reveló que alrededor de 2.500 tenían algún tipo de credencial secreto codificado dentro de ellas. Las aplicaciones fueron analizadas con una herramienta online lanzada por la compañía el pasado mes de noviembre.
Las caves de acceso codificadas para servicios de terceros en las aplicaciones se pueden justificar cuando el acceso que proporcionan es de alcance limitado. Sin embargo, en algunos casos, los desarrolladores incluyen claves que desbloquean el acceso a datos o sistemas sensibles y pueden ser violadas.
Este ha sido el caso de las 304 aplicaciones encontradas por Fallible que contenían tokens de acceso y claves API para páginas como Twitter, Dropbox, Flickr, Instagram, Slack o AWS.
300 aplicaciones de 16.000 pueden no parecer mucho pero, dependiendo del tipo de aplicación y de los privilegios asociados a ella, una sola credencial filtrada puede conducir a una brecha masiva de datos.
Los tokens de Slack, por ejemplo, pueden proporcionar acceso a los registros de chat utilizados por los equipos de desarrollo, y estos pueden contener credenciales adicionales para bases de datos, plataformas de integración continua y otros servicios internos, sin mencionar los archivos y documentos compartidos.
El año pasado, investigadores de la firma de seguridad Detectify detectaron que más de 1.500 tokens de acceso habían sido codificados en los proyectos open source alojados en GitHub.
Las claves de acceso de AWS también han sido encontradas dentro de los proyectos de GitHub, forzando a Amazon a explorar proactivamente las filtraciones y a revocar las claves expuestas. Algunas de ellas tenían plenos privilegios que permitían crear y eliminar instancias, según han comunicado los investigadores de Fallible.
No es la primera vez que se encuentran tokens de acceso, claves API y otras credenciales secretas dentro de las aplicaciones móviles. En 2015 un grupo de investigadores de la Universidad Técnica de Darmstadt, en Alemania, descubrieron más de 1.000 credenciales de acceso a los frameworks de BaaS (Back-end como servicio), almacenados en aplicaciones de Android e iOS. Estas credenciales desbloquearon el acceso a más de 18,5 millones de registros de bases de datos que contenían 56 millones de campos de datos que los desarrolladores de aplicaciones almacenaron en proveedores BaaS, como Parse (propiedad de Facebook), CloudMine o AWS.
