La implementación de arquitectura basada en la nube ha sido promocionada como una alternativa mucho más segura que las redes tradicionales, mencionan expertos en análisis de vulnerabilidades. No obstante, esta seguridad no parece extenderse hacia las aplicaciones móviles que dependen del uso simultáneo de muchos servidores en la nube diferentes.
Investigadores de una universidad en E.U. analizaron las 5 mil aplicaciones para Android más populares en Google Play Store, descubriendo que al menos el 20% de estos productos son vulnerables debido a la forma en la que se conectan a servicios backend en la nube. Los investigadores incluso desarrollaron una herramienta para que los desarrolladores puedan verificar si sus productos son vulnerables a este tipo de errores.
La mayoría de apps móviles dependen del uso de servicios en la nube para descargar o enviar contenido, realizar actividades de detección y rastreo de la actividad del usuario o para no saturar la memoria de los dispositivos. “Desafortunadamente, un desarrollador de aplicaciones móviles que quiera auditar los backends que usa su aplicación rápidamente encontrará que esto es más difícil de lo que parece”, mencionan los especialistas en análisis de vulnerabilidades.
Los servicios de backend en la nube para el desarrollo de apps móviles no son para nada confiables, pues los expertos descubrieron que las aplicaciones comprometidas usan al menos 6 mil 800 redes de servidores en todo el mundo, además, algunas de estas apps se comunicacn con más de una red en la nube, posiblemente en más de un continente.
“Saber que nuestas apps se comunican con decenas, o incluso cientos de servidores puede sonar sorprendente”, declaró uno de los expertos participantes de la investigación. “Esta es una debilidad de seguridad que nadie había notado a la fecha”, agregan los expertos.
Alrededor de 980 de las vulnerabilidades de seguridad encontradas en esta investigación ya habían sido reportadas con anterioridad, no obstante, los expertos reportaron el hallazgo de al menos 655 vulnerabilidades día cero.
Un ejemplo de este escenario indeseable es el hackeo ocurrido contra la versión para móviles del videojuego Fortnite. En esa ocasión, el contenido progresivamente descargado desde backends permitió a los hackers intalar apps adicionales sin consentimiento de los usuarios, todo en segundo plano mientras la víctima esperaba la descarga del popular videojuego. Otros incidentes similares han generado la filtración masiva de información sensible de los usuarios de smartphones.
Acorde a los expertos en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS), SkyWalker, la herramienta de seguridad desarrollada por este equipo de expertos, le permitirá a las compañías auditar la seguridad basada en la nube para encontrar los puntos más vulnerables y limitar los riesgos de ciberseguridad para los usuarios finales.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
