12 Shares 2196 Views 2 Comments

Millones de apps corren el riesgo de dejar a la vista datos personales a causa de un código de terceros

24 abril, 2018
12 Compartido 2,196 Visualizaciones 2

El número de aplicaciones que utilizan estos SDK asciende a varios millones y la mayoría transmite sin cifrar al menos uno de los siguientes datos: información personal, del dispositivo y ubicación.

Los datos se envían sin cifrar y utilizando HTTP, lo que significa que no están protegidos cuando viajan por los servidores.

Al analizar las aplicaciones populares de citas, los expertos de Kaspersky Lab descubrieron que algunas, al utilizar el protocolo inseguro HTTP, transmiten datos de usuario sin cifrar, con el peligro de dejarlos a la vista. Esto sucede porque algunas aplicaciones utilizan SDK (Software Development Kit) publicitario “ready-to-go” y forman parte de algunas de las redes de anuncios más populares. Las aplicaciones examinadas se han instalado en miles de dispositivos en todo el mundo y un error de seguridad grave significa que los datos privados pueden llegar a ser interceptados, modificados y utilizados en ataques futuros, dejando a muchos de sus usuarios indefensos.

Un SDK es un conjunto de herramientas de desarrollo de software, a menudo distribuidas de forma gratuita, que permite a los autores centrarse en los principales elementos de la aplicación, al tiempo que confían las otras funciones a los SDK listos para su uso. Los desarrolladores usan generalmente códigos de terceros para crear parte de la aplicación, ahorrando así tiempo al reutilizar las funcionalidades existentes. Por ejemplo, los SDK publicitarios recopilan datos de los usuarios para mostrar anuncios que puedan ser relevantes, lo que ayuda a los desarrolladores a monetizar sus productos. Los kits envían datos del usuario a los dominios de las redes publicitarias populares para lograr una visualización de anuncios mucho más concreta.

Pero un análisis más profundo de las aplicaciones ha demostrado que los datos se envían sin cifrar y utilizando HTTP, lo que significa que no están protegidos cuando viajan por los servidores. Debido a esa ausencia de cifrado, los datos pueden ser interceptados por cualquiera, ya sea por usar una conexión Wi-Fi no protegida o un proveedor de servicios de Internet, o por la presencia de malware en el router de casa. Y peor aún, los datos interceptados pueden modificarse, lo que supone que la aplicación pueda llegar a mostrar anuncios maliciosos en lugar de anuncios legítimos. De esta forma, los usuarios pueden verse tentados a descargarse una aplicación promocionada, que a su vez se convertirá en malware y les pondrá en peligro.

Kaspersky Lab ha analizado los registros y el tráfico de red de las aplicaciones utilizando el Sandbox interno de Android para descubrir qué aplicaciones son las que transmiten datos de usuario no cifrados a través de las redes HTTP. En su trabajo los analistas identificaron una serie de dominios principales, la mayoría de ellos parte de las redes de publicidad más populares. El número de aplicaciones que utilizan estos SDK asciende a varios millones, y la mayoría de ellas transmite sin cifrar al menos uno de los siguientes datos:

  • Información personal, principalmente el nombre del usuario, edad y sexo. Incluso pueden incluir sus ingresos personales. El número de teléfono y la dirección de correo también pueden ser filtrados (las personas suelen compartir mucha información personal en las aplicaciones de citas, según demostró Kaspersky Lab en otro estudio).
  • Información del dispositivo, como el nombre del fabricante, modelo, resolución de pantalla, versión del sistema operativo y nombre de la aplicación.
  • Ubicación del dispositivo.

“Al principio pensamos que eran apenas algunos casos, pero el descuido en el diseño de las aplicaciones alcanza una dimensión abrumadora. Millones de aplicaciones incluyen SDK de terceros, exponiendo datos privados que pueden ser interceptados fácilmente y modificados, lo que se deriva en infecciones de malware, chantajes y otros vectores de ataque en sus dispositivos altamente efectivos”, dice Roman Unuchek, analista de seguridad en Kaspersky Lab.

Los analistas de Kaspersky Lab aconsejan a los usuarios seguir las siguientes medidas:

  • Verificar los permisos de nuestras aplicaciones. No dar acceso a algo si no entendemos por qué lo debemos hacer. La mayoría de las aplicaciones no necesitan acceder a nuestra ubicación, así que lo mejor es no darlo.

Utilizar una VPN cifrará el tráfico de red entre nuestro dispositivo y los servidores. Permanecerá sin cifrar detrás de los servidores de la VPN, pero al menos el riesgo de fuga se ve reducido durante el proceso.

Te podría interesar

Un ciberataque lleva a un barco a aguas turbulentas
Network Security
19 compartido2,555 visualizaciones
Network Security
19 compartido2,555 visualizaciones

Un ciberataque lleva a un barco a aguas turbulentas

Mónica Gallego - 1 agosto, 2019

Menos de dos meses después del aviso sobre problemas de ciberseguridad en los barcos, la Guardia Costera de los Estados…

EinzelNet sigue consolidando su crecimiento y cierra su año fiscal con excelentes resultados
Actualidad
20 compartido1,214 visualizaciones
Actualidad
20 compartido1,214 visualizaciones

EinzelNet sigue consolidando su crecimiento y cierra su año fiscal con excelentes resultados

Vicente Ramírez - 22 enero, 2019

La empresa incrementa su cifra de negocio en torno al 25%, en los últimos dos ejercicios. Con una estrategia de…

Los cibercriminales apuestan fuerte por la evasión y el anti análisis para eludir la detección de sus ataques
CyberAttacks
14 compartido1,066 visualizaciones
CyberAttacks
14 compartido1,066 visualizaciones

Los cibercriminales apuestan fuerte por la evasión y el anti análisis para eludir la detección de sus ataques

Vicente Ramírez - 23 agosto, 2019

El Índice Global de Amenazas de Fortinet alcanza su máximo histórico demostrando el aumento continuo de los ciberataques. Fortinet ha…

2 Comentarios

  1. Lo que debió haber hecho Zuckerberg: 1º Multar a candbridge analitica por poner en compromiso a un gran empresa para sus recurso sin molestarse en recabar información. 2º Sancionar a Facebook por no controlar la información y dejarla en manos de usureros que buscan lo fácil y rápido al coste 0 3º No cifrar la información de cabo a rabo y dejarla libre para que cualquiera se de el gustazo de hacer lo que le de la gana proofreading services

    Reply

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.