Al analizar aplicaciones populares de citas amorosas, los investigadores de Kaspersky Lab descubrieron que algunas transmiten datos no cifrados de los usuarios con un protocolo HTTP inseguro, lo que crea el peligro de exponer los datos. Esto se debe a que algunas aplicaciones utilizan SDK publicitarios de terceros, que forman parte de muchas de las redes publicitarias más populares. Las aplicaciones involucradas incluyen algunas que han sido instaladas miles de millones de veces en todo el mundo, y un grave defecto de seguridad significa que los datos privados pueden ser interceptados, modificados y utilizados en futuros ataques, dejando así indefensos a muchos usuarios.
El SDK es un conjunto o kit de herramientas de programación, a menudo distribuidas de forma gratuita, que permite a los autores centrarse en los principales elementos de la aplicación, pero confiando otras funciones en los SDKs. Los programadores usan a menudo código de terceros para ahorrar tiempo, al reutilizar la funcionalidad existente para crear parte de la aplicación. Por ejemplo, los SDK publicitarios recopilan datos de los usuarios para mostrar anuncios pertinentes, lo que ayuda a los programadores a monetizar su producto. Los kits envían datos del usuario a los dominios de las redes publicitarias populares para una visualización de anuncios más específica.
Pero un análisis más profundo de las aplicaciones ha demostrado que estas envían los datos sin cifrarlos, y mediante HTTP, lo que significa que no están protegidos cuando viajan a los servidores. Debido a la ausencia de cifrado, los datos pueden ser interceptados por cualquiera, ya sea a través de Wi-Fi sin protección, por un proveedor de servicios de Internet o mediante malware en un enrutador doméstico. Peor aún, los datos interceptados también pueden modificarse, lo que significa que la aplicación mostrará anuncios maliciosos en lugar de anuncios legítimos. Luego, los usuarios se verán tentados a bajar una aplicación promocionada, que se convertirá en malware y los pondrá en peligro.
Los investigadores de Kaspersky Lab han examinado los registros y el tráfico de red de las aplicaciones en el Sandbox interno de Android para descubrir qué aplicaciones transmiten datos no cifrados de los usuarios a las redes a través de HTTP. Identificaron una serie de dominios principales, la mayoría de ellos parte de redes publicitarias populares. El número de aplicaciones que utilizan estos SDKs asciende a varios millones, y la mayoría de ellas transmiten al menos uno de los siguientes datos de forma no cifrada:
- Información personal, principalmente el nombre del usuario, edad y sexo. Incluso puede incluir los ingresos del usuario. Su número de teléfono y su dirección de correo electrónico podrían filtrarse también, ya que la gente comparte mucha información personal en aplicaciones de citas amorosas, según otro estudio de Kaspersky Lab.
- Información del dispositivo, como el fabricante, modelo, resolución de pantalla, versión del sistema y nombre de la aplicación.
- Ubicación del dispositivo.
«La escala, de lo que inicialmente pensamos eran solo casos específicos de un diseño descuidado de las aplicaciones, es abrumadora. Millones de aplicaciones incluyen SDK de terceros, poniendo al descubierto datos privados que pueden ser fácilmente interceptados y modificados, lo que lleva a infecciones de malware, chantaje y otros vectores de ataque muy eficaces en los dispositivos», dijo Roman Unuchek, investigador de seguridad de Kaspersky Lab.
Los investigadores de Kaspersky Lab aconsejan a los usuarios que sigan estas medidas:
- Verifique los permisos de su aplicación. No conceda acceso a algo si no entiende por qué. La mayoría de las aplicaciones no necesitan acceso a su ubicación, así que no la conceda.
- Use una VPN. Esta cifrará el tráfico de la red entre su dispositivo y los servidores. Sin embargo, el tráfico permanecerá sin cifrado detrás de los servidores de la VPN, pero al menos el riesgo de filtración se reduce durante el proceso.
Para obtener más información acerca de los SDKs de terceros, lea nuestro blogpost en Securelist: https://securelist.lat/leaking
