Home Sociedad Los servicios cloud ponen en peligro a las aplicaciones móviles

Los servicios cloud ponen en peligro a las aplicaciones móviles

Los servicios de back-end basados en la nube están defraudando a los desarrolladores de aplicaciones móviles, según un estudio anunciado esta semana. Incluso cuando los desarrolladores tienen cuidado con su propio código, los servicios en línea que utilizan, introducen vulnerabilidades de forma regular.

La investigación, realizada por el Instituto de Tecnología de Georgia y la Universidad Estatal de Ohio, estudió las 5.000 mejores aplicaciones de la tienda Google Play Store. Se descubrió que entre ellos, estaban utilizando 6.869 redes de servidores en todo el mundo.

Exploraron los back-ends basados en la nube y encontraron 1.638 vulnerabilidades, de las cuales 655 no figuraban en la Base de Datos Nacional de Vulnerabilidades (National Vulnerability Database). Éstos incluían inyección SQL, scripts en varios sitios y ataques de entidades XML externas. Algunas de las aplicaciones afectadas tenían más de 50 millones de instalaciones, según su documento.

Las aplicaciones móviles acceden a los servicios de back-end utilizando kits de desarrollo de software (SDKs) y APIs de terceros. Los desarrolladores utilizan algunos de ellos explícitamente, pero muchos otros están ocultos en bibliotecas importadas de terceros. Las aplicaciones que utilizan estos servicios se comunican con ellos de forma invisible. Los usuarios no saben qué están haciendo los servicios o exactamente con qué servidores están hablando sus teléfonos cuando sus aplicaciones obtienen contenido y publicidad.

“Debido a la complejidad inherente a los backends basados en la nube, su despliegue y mantenimiento seguro es todo un reto. En consecuencia, los desarrolladores de aplicaciones móviles a menudo hacen caso omiso de las prácticas de seguridad prudentes cuando eligen la infraestructura de la nube, construyen o alquilan estos backends”, señalaron los investigadores.

Esto abre las aplicaciones a vulnerabilidades adicionales que podrían comprometer el código de ejecución local o filtrar los datos de los usuarios, añadieron, citando el compromiso del sitio web de British Airways, que permitía a los atacantes robar datos de la aplicación.

Los investigadores analizaron las aplicaciones con una herramienta llamada SkyWalker, que pronto pondrán a disposición de los desarrolladores de aplicaciones para auditar las herramientas basadas en la nube que están construyendo en sus aplicaciones.

Presentarán sus hallazgos en el Simposio de Seguridad de USENIX en Santa Clara, California, que se llevará a cabo del 14 al 16 de agosto de 2019.