Los investigadores de Symantec identificaron 1.859 aplicaciones de Android e iOS que contenían credenciales codificadas de Amazon Web Services (AWS), lo que representa un gran riesgo de seguridad para los usuarios. El 77% de las aplicaciones contienen tokens de autenticación de AWS válidos que permiten el acceso a los servicios de nube privada de AWS.
Aproximadamente el 50% de las aplicaciones de diferentes desarrolladores utilizan los mismos tokens de acceso de AWS, lo que indica una vulnerabilidad en la cadena de suministro. Las credenciales de AWS generalmente se usan para descargar los recursos apropiados necesarios para la funcionalidad de la aplicación, así como para acceder a los archivos de configuración y la autenticación a otros servicios en la nube, explica extensamente Securitylab.
Además, el 47% de las aplicaciones detectadas contienen tokens de AWS válidos, que brindan acceso total a todos los archivos privados y depósitos de Amazon Simple Storage Service (S3) en la nube, incluidos los archivos de infraestructura y las copias de seguridad de datos.
En un caso, una empresa B2B sin nombre o anónima que proporcionó un kit de desarrollo de software móvil (SDK) a sus clientes tenía sus claves de infraestructura en la nube integradas en el SDK para acceder a un servicio de traducción.
Esto resultó en la divulgación de todos los datos personales de los clientes, que incluían datos corporativos y registros financieros pertenecientes a más de 15000 empresas medianas y grandes. Además, se encontraron 5 aplicaciones bancarias de iOS que usaban un SDK que contenía credenciales en la nube, filtrando información de huellas dactilares de más de 300,000 usuarios.
Los investigadores alertaron a las organizaciones sobre los problemas que encontraron en las aplicaciones y los animaron a tomar medidas para evitar daños mayores sobre su negocio y sus clientes, que en última instancia también acaban expuestos a estas prácticas.
En un mundo digital con tantas apps gratuitas el pago real se hace mediante los datos personales de los usuarios, que deberían ser privados, pero que siempre alguien encuentra la manera de vulnerar y mercadear con ellos, ya que suponen un tesoro muy preciado para algunas corporaciones; por todo ello, ten mucho cuidado con qué descargas a tu móvil, y desde dónde lo descargas, así como qué permisos concedes y que datos personales les aportas.
