Apps
El peligro de usar los credenciales de Google, Facebook o Amazon para iniciar sesiones de apps
Muchos desarrolladores prefieren incluir en sus aplicaciones móviles las APIs de Facebook Connect y de los equivalentes de Google o Amazon. La razón es sencilla: los usuarios están cansados de tener que proporcionar sus correos electrónicos para iniciar sesión en cada app que se descargan y esta es una manera rápida y sencilla de poder registrarse sin dar sus datos una y otra vez. Sin embargo, esta vía presenta muchos riesgos para la seguridad de los usuarios, porque los developers no están cuidando su protección como deberían.
Esta es la principal conclusión de un estudio realizado por investigadores de la universidad de Darmstadt (Alemania), que revela que los desarolladores de apps han expuesto 56 millones de credenciales al incluir este tipo de APIs.
El grupo ha testeado 750.000 apps de Android e iOS, examinando la forma en la que utilizan los servicios de identidad para hacer la autenticación sin problemas a través de diferentes dispositivos. Los expertos alemanes hallaron que los datos (incluyendo direcciones de correo, contraseñas y registros de salud) podían ser expuestos a los intrusos y sus cuentas se podrían comprometer.
“Los desarrolladores de aplicaciones utilizan bases de datos en la nube para almacenar la información de los usuarios, pero al parecer ignoran las recomendaciones de seguridad dadas por los proveedores en la nube”, escriben los responsables del estudio. “Como resultado de ello, muchas cuentas de usuarios están amenazadas por el robo de identidad y otros delitos cibernéticos”.
Un gran número de developers solo usa unas pocas líneas de código y no sigue los consejos de los proveedores cloud. “La mayoría de los desarrolladores parece estar perdiendo esta pieza crucial de información, sin embargo, opta por el uso simple e inseguro del servicio. Probablemente ellos ni siquiera sean conscientes de que están poniendo los datos de sus usuarios en riesgo”.
La cuestión es que la mayoría de las apps que se han investigado están aseguradas solamente por una contraseña secreta que se inserta directamente en la app. Los atacantes pueden extraer esta clave directamente de una aplicación o robarla mediante una conexión inalámbrica insegura, por ejemplo.
¿Cómo evitar estos riesgos? Son los desarrolladores los que tienen que concienciarse con el problema e implementar un esquema de control de acceso que proteja adecuadamente los datos privados, según recomiendan los expertos de la universidad de Darmstadt.
✕
Accede a tu cuenta para comentar