Más de 600 apps de iOS y Android pueden mostrar nuestros mensajes y llamadas privadas
La empresa de seguridad móvil Appthority acaba de descubrir una vulnerabilidad en cientos de apps de iOS y Android que pueden exponer nuestras conversaciones a terceros. Concretamente hay casi 700 aplicaciones utilizadas en las empresas que suponen una «exposición de datos a gran escala», pues son capaces de permitir el acceso a mensajes y llamadas privadas del usuario.
La compañía de seguridad que ha dado la voz de alerta señala que el defecto, etiquetado como Eavesdropper, es una «amenaza real y permanente», que afecta a 635 apps de iOS y Android, de las cual 170 aplicaciones aún están disponibles en las tiendas de aplicaciones oficiales de cada plataforma. De hecho las aplicaciones de Android que presentan esta vulnerabilidad se han descargado hasta 180 millones de veces.
Appthority afirma que, curiosamente, la lista de apps afectadas incluye una aplicación para comunicación segura de una agencia federal así como una aplicación que permite a los equipos de ventas de la empresa grabar audio y anotar discusiones en tiempo real. No obstante la compañía de seguridad no ha facilitado el nombre de estas aplicaciones en concreto.
Peligros en iOs y Android
Eavesdropper es el resultado de que los desarrolladores «codificaron con descuido sus credenciales en aplicaciones móviles que usan la API Twilio Rest o SDK«. No obstante la firma de seguridad dijo que el problema no es específico para los desarrolladores que crean aplicaciones con Twilio: «La codificación de credenciales es un desarrollador común que aumenta la aparición de riesgos de seguridad de las aplicaciones móviles«. Los desarrolladores que hacen esto una vez tienen una gran propensión a cometer el mismo error con otros servicios y herramientas a posteriori.
Eavesdropper no depende de un jailbreak o de un dispositivo rooteado del dispositivo, ni aprovecha una vulnerabilidad conocida como puede ser Blueborne o realiza un ataque a través de malware. «Esta vulnerabilidad muestra cómo un simple error del desarrollador al exponer credenciales en una aplicación puede afectar a familias más grandes de aplicaciones del mismo desarrollador que usa las mismas credenciales.»
La vulnerabilidad, al no depender de la plataforma sino del desarrollador de la aplicación, afecta por igual a apps iOS y Android, exponiendo a terceros nuestros mensajes e historial de llamadas privadas. La compañía de seguridad lanza este aviso para que los desarrolladores de estas apps se pongan manos a la obra y solucionen este conflicto de credenciales lo antes posible.