Una exploración reciente del juego de Google mercado encontró que las apps Android contenían miles de claves secretas de autenticación que podrían ser utilizados maliciosamente para acceder a cuentas de nube privada en Amazon o en los perfiles de usuario final de compromiso en Facebook, Twitter, y una media docena de otros servicios.
El hallazgo es el resultado de PlayDrone, un sistema que utiliza una variedad de técnicas de hacking para eludir las medidas de seguridad destinadas a impedir que terceros arrastrándose Google Play. La idea original de científicos de la computación en la Universidad de Columbia, PlayDrone contenido de juego integral indexados, descargado más de 1,1 millones de aplicaciones, y más de 880.000 decompiled de ellos. Se cree que es la primera medición a gran escala de la expansión del mercado de Google, que ofrece más de un millón de aplicaciones y ha promovido 50 mil millones de descargas de aplicaciones hasta la fecha.
Una de las más sorprendentes observaciones PlayDrone hizo fue que muchas de las aplicaciones contienen las claves secretas de autenticación que pueden comprometer las cuentas pertenecientes a los desarrolladores y usuarios finales. El código fuente de la aplicación oficial AirBnB, por ejemplo, incluyó secretoTokens OAuthFacebook, Google, LinkedIn, Microsoft y Yahoo. Las credenciales han sido facilitadas por los proveedores de servicios y actuar como una llave maestra de clases que permite una aplicación para acceder a datos de las cuentas privadas para cada usuario. Por desplume fuera del Móvil Airbnb, un atacante podría utilizar para leer y, posiblemente, modificar o añadir datos de millones de perfiles de los usuarios.
No hay comentarios:
Publicar un comentario