Miles de aplicaciones de iOS dejan expuestos los datos de los usuarios, revela una investigación

Apple se jacta, con algo de justicia, de tener el sistema operativo móvil más seguro del mundo. Esto no significa que sea perfecto: además de las fallas que se encuentran en el corazón mismo del sistema, los usuarios también deben confiar en la forma en que los demás desarrolladores manejan sus datos y, aparentemente, un buen número de ellos no están haciendo sus deberes como deberían.

Una encuesta reciente de Zimperium analizó más de 1.3 millones de aplicaciones para iOS y Android y llegó a una conclusión inquietante: de estas, 47 mil aplicaciones del ecosistema de Apple y 84 mil El ecosistema de Google utiliza servicios de nube pública como Amazon Web Services o Microsoft Azure sin la configuración necesaria para proteger los datos del usuario.

Según los hallazgos de los investigadores, al menos 14% de las aplicaciones analizadas exponer o ya haber expuesto informaciones personales de sus usuarios, incluidas las contraseñas, los datos financieros y de salud, todo porque la configuración empleada por los desarrolladores permite que los intrusos accedan a estos datos o incluso los sobrescriban, dando lugar a una serie de fraudes.

La solución ideal para solucionar el problema es que cada aplicación utiliza su propia estructura de servidor para almacenar los datos del usuario. Esto, por supuesto, es una opción inviable para la mayoría de los desarrolladores, ya que mantener sus propios servidores es mucho más caro y laborioso que contratar los servicios de otra empresa; aun así, es posible implementar configuraciones específicas para proteger los datos del usuario incluso utilizando un servicio en la nube externo como Amazon o Microsoft.

Servicios como Amazon Web Services tienen herramientas para que los desarrolladores verifiquen la configuración de sus servidores y garanticen la protección de los datos almacenados allí, pero según el investigador Will Strafach (creador de la aplicación Guardian Firewall), la responsabilidad final siempre debe recaer en el desarrollador:

Tiene mucho sentido que este problema de mala configuración esté muy extendido. He visto cubos de Amazon Web Services con permisos incorrectos y he visto varios nodos Servidor VPN exponiendo datos. También vi muchas aplicaciones de empresas que deberían haber tenido más conocimientos en el área con problemas de seguridad horribles.

El informe Zimperium no reveló nombres, pero sí mencionó, entre las aplicaciones consideradas inseguras, una billetera digital de una empresa que se encuentra en el Fortuna 500 y una aplicación de transporte público de una gran ciudad, que exponen los datos confidenciales de sus usuarios.

El objetivo de los investigadores ahora es sacar a la luz el asunto para que los desarrolladores puedan configurar sus aplicaciones de una manera más segura y privada para los usuarios. En el artículo de Zimperium se puede leer un análisis más técnico del tema, así como consejos sobre cómo evitar la exposición de datos. Los investigadores de la compañía también realizarán un seminario web el 24 de marzo para hablar más sobre el tema; puede registrar su presencia en esta página.

Artículos relacionados