Según un
reciente estudio, la plataforma de desarrollo de aplicaciones para Android
AppsGeyser ha podido estar desarrollando durante bastante tiempo aplicaciones
sin las medidas de seguridad correspondientes desactivando los certificados SSL
en las aplicaciones desarrolladas a través de esta plataforma. El “programador”
no tiene nunca acceso al código ya que todo se genera automáticamente desde la
plataforma, por lo que no se sabe qué tipo de código se inyecta ni qué tipos de
medidas de seguridad se aplican o desactivan.
Los ataques Man-In-The-Middle o MITM son aquellos en los que un pirata informático sitúa su ataque en el medio de las comunicaciones llegando a tener el control total de las mismas sin que los usuarios, generalmente, puedan ser conscientes de ello. Estos ataques son bastante complicados de realizar y de identificar, aunque también son los más efectivos al ser capaces de recopilar un gran número de información de forma casi totalmente oculta.
Este fallo de
seguridad permite que piratas informáticos modifiquen los paquetes de conexión
correspondientes a través de ataques directos y carguen en las aplicaciones
cualquier páginas maliciosa deseada o leer/modificar la información que se
envía a los servidores desde ella. Un ejemplo de posibles ataques que se pueden
realizar explotando este fallo de seguridad en las aplicaciones de Android es,
por ejemplo, interceptar las conexiones hacia las redes sociales (Twitter,
Facebook, etc) y mostrar una web falsa donde recopilar los credenciales de las
mismas al intentar iniciar sesión.
Actualmente
más de 5.500 aplicaciones para Android son vulnerables a estos ataques dentro
de la Play Store, algunas de ellas con incluso más de 100.000 descargas. Para
evitar ser víctimas de los piratas informáticos es recomendable evitar su uso
o, de hacerlo, utilizar siempre redes de confianza que sepamos que no están
comprometidas. También debemos evitar enviar todo tipo de datos confidenciales
(usuarios, contraseñas, etc) a través de estas aplicaciones para evitar que
dicha información pueda caer en manos de los piratas informáticos.
Fuente:
ElevenPaths