Home Sociedad Las aplicaciones de Android no protegen los datos del usuario durante la...

Las aplicaciones de Android no protegen los datos del usuario durante la transferencia del dispositivo

Se han observado múltiples aplicaciones Android que no invalidan ni revalidan las cookies de sesión durante la transferencia de datos de la app de un dispositivo a otro.

La técnica permitiría a los atacantes con una herramienta de migración de dispositivos altamente privilegiada mover aplicaciones a un nuevo dispositivo Android, causando problemas de migración, según un nuevo aviso de los investigadores de CloudSEK.

“Esto significa que si una persona es capaz de tener acceso físico a su dispositivo desbloqueado durante algún tiempo, puede copiar los datos de sus aplicaciones en su dispositivo y hacerse pasar por usted y sus cuentas, utilizando así las aplicaciones en su nombre sin introducir ID de inicio de sesión o contraseñas”, escribió la compañía.

CloudSEK explicó que en aplicaciones específicas como WhatsApp, los actores también podían saltarse el mecanismo 2FA. Los expertos en seguridad validaron las afirmaciones realizando un experimento con dos dispositivos Realme.

“Este problema ocurre ya que las claves secretas utilizadas por WhatsApp se copian en el nuevo teléfono. Debido a esto, en el lado de WhatsApp, estos dos dispositivos parecen ser el mismo, ya que utilizan las mismas credenciales para autenticarse con nosotros.”

En el aviso, CloudSEK dice que informó de la vulnerabilidad a Meta, que la consideró un escenario de ingeniería social y la descartó como problema de seguridad. Meta no ha respondido inmediatamente a la solicitud de comentarios de Infosecurity sobre el asunto.