En el transcurso de tres meses, se han encontrado 2.113 aplicaciones móviles que utilizaban Firebase, las cuales llegaron a Virus Total dejando a las víctimas desprotegidas y accesibles para que los ciberdelincuentes las exploten. La información expuesta incluye mensajes de chat en aplicaciones de juegos populares, fotos personales de familia, identificaciones de tokens en aplicaciones sanitarias, datos de plataformas de intercambio de criptomonedas, entre otros. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha encontrado expuestos datos sensibles de una serie de aplicaciones, disponibles para cualquier persona con un navegador. Buscando en «VirusTotal», los investigadores han identificado 2.113 aplicaciones móviles cuyas bases de datos estaban sin protección a lo largo de una investigación de tres meses. VirusTotal, una filial de Google, es una herramienta online gratuita que analiza archivos y URLs para detectar virus, troyanos y otras formas de malware.
Las aplicaciones móviles oscilan entre las 10.000 y 10.000.000 descargas. Entre la información sensible encontrada se encontraban mensajes de chat en populares aplicaciones de citas, fotos personales y de familia, identificaciones de tokens en una aplicación de salud, datos de plataformas de intercambio de criptomonedas, entre otros. Check Point Research advierte que es muy sencillo localizar conjuntos de datos y recursos críticos de las aplicaciones mediante la consulta de repositorios públicos, e insta a la industria a aplicar mejores prácticas de seguridad en la nube.
Las plataformas en la nube han cambiado la forma de trabajar de los desarrolladores y se han convertido en un estándar en el desarrollo de aplicaciones. Mientras escriben el código, invierten muchos recursos para reforzar una aplicación contra diversas formas de ataque. Sin embargo, los programadores pueden descuidar la configuración de la base de datos en la nube, dejándolas expuestas en tiempo real, lo que podría dar lugar a una brecha catastrófica si se explota.
A menudo, para hacer pruebas los diseñadores cambian manualmente las configuraciones bloqueadas y protegidas por defecto de las reglas de seguridad. Si se deja desbloqueada y desprotegida antes de lanzar la aplicación a producción, la base de datos queda abierta a cualquiera que pueda leer y escribir en ella.
Metodología de acceso
Para acceder a las bases de datos expuestas, la metodología es sencilla:
1. Buscar las aplicaciones móviles que se comunican con los servicios en la nube en VirusTotal.
2. Filtrar las que tienen acceso directo a los datos.
3. Navegar en el enlace recibido.
Ejemplos de aplicaciones expuestas
Check Point Research presenta algunos ejemplos de su investigación, protegiendo los nombres de las entidades:
Ejemplo A:
· Categoría: aplicación de grandes almacenes, una de las mayores cadenas de Sudamérica.
· Descripción: el propietario de la aplicación es una importante red de tiendas en Sudamérica.
· Número de descargas: más de 10 millones.
· Datos expuestos: credenciales de la pasarela de la API y clave de la API.
Ejemplo B:
· Categoría: aplicación de seguimiento de running.
· Descripción: desarrollada para seguir y analizar el rendimiento al correr.
· Número de descargas: más de 100.000
· Datos expuestos: coordenadas GPS de los usuarios y otros parámetros de salud como la frecuencia cardíaca expuestos. Las coordenadas de las víctimas podrían utilizarse para crear mapas que permitan seguir su paradero.
Ejemplo C:
· Categoría: aplicación de citas para personas con discapacidad.
· Descripción: desarrollada para conocer a otras personas y entablar una relación a través de un chat.
· Número de descargas: más de 10.000
· Datos expuestos: 50.000 mensajes privados en la BBDD abierta de una aplicación de citas.
Ejemplo D:
· Categoría: aplicación de diseño de logotipos.
· Descripción: aplicación muy utilizada para la creación de logos y diseños gráficos.
· Número de descargas: más de 10 millones
· Datos expuestos: 130.000 nombres de usuario, emails y contraseñas expuestos.
Ejemplo E:
· Categoría: aplicación de plataforma de audio social para que los usuarios compartan y escuchen podcasts independientes.
· Descripción: los usuarios pueden comprar y compartir podcasts y diversos materiales de audio.
· Número de descargas: más de 5 millones.
· Datos expuestos: datos bancarios de los usuarios, ubicación, números de teléfono, mensajes de chat, historial de compras, etc.
Ejemplo F:
· Categoría: aplicación de contabilidad.
· Descripción: app de servicios financieros para pequeñas y medianas empresas.
· Número de descargas: 1M+.
· Datos expuestos: 280.000 números de teléfono asociados a por lo menos 80.000 nombres de empresas, direcciones, saldos bancarios, saldos de caja, recuentos de facturas y correos electrónicos.
Ejemplo G:
· Categoría: lector de PDF.
· Descripción: n/a.
· Número de descargas: 500.000.
· Datos expuestos: archivo Base64 de configuración de OpenVPN con claves privadas expuestas. Esto podría ser utilizado potencialmente por un ciberdelincuente para conectarse a la VPN de la empresa y entrometerse en su red.
«En esta investigación se demuestra lo fácil que es localizar conjuntos de datos y recursos críticos que están abiertos en la nube para cualquiera que pueda acceder a ellos sencillamente navegando. Compartimos un método sencillo de cómo los ciberdelincuentes pueden hacerlo. La metodología consiste en buscar en repositorios públicos de archivos como VirusTotal aplicaciones móviles que utilicen servicios en la nube. Un atacante puede consultar en VirusTotal la ruta completa al Back-end en la nube de una aplicación móvil. Por ello, mostramos algunos ejemplos de lo que pudimos encontrar allí nosotros. Todo está disponible para cualquiera. En definitiva, con esta investigación demostramos lo sencillo que es que se produzca una filtración o explotación de datos. La cantidad de datos que se encuentra al descubierto y que está a disposición de cualquiera en la nube es mucho más fácil de vulnerar de lo que pensamos», alerta Ivonne Pedraza, Territory Manager CCA de Check Point Software.
Cómo mantenerse seguro:
Estos son algunos consejos para garantizar la seguridad de sus diferentes servicios en la nube:
Amazon Web Services
Seguridad de los cubos S3 de AWS CloudGuard
Regla específica: «Garantizar que los cubos de S3 no sean de acceso público» ID de la regla: D9.AWS.NET.06
Plataforma en la nube de Google
Asegúrese de que la base de datos de almacenamiento en la nube no sea accesible de forma anónima o pública ID de la regla: D9.GCP.IAM.09
Microsoft Azure
Asegúrese de que la regla de acceso a la red por defecto para las cuentas de almacenamiento esté configurada para denegar ID de regla: D9.AZU.NET.24