Llaves al descubierto: aplicaciones populares revelan claves de AWS y Azure

Los especialistas de Symantec detectaron un grave problema de seguridad en varias aplicaciones móviles populares para iOS y Android. En el código de estas aplicaciones se encontraron credenciales sin cifrar y codificadas de manera rígida para acceder a los servicios en la nube de Amazon Web Services (AWS) y Microsoft Azure Blob Storage, lo que genera riesgos de acceso no autorizado a los datos de los usuarios y al código fuente.

Los especialistas de Symantec señalan que este problema se debe a errores en la fase de desarrollo de las aplicaciones. Incluir credenciales directamente en el código permite que cualquier persona con acceso al archivo binario o al código fuente pueda infiltrarse en la infraestructura interna y robar datos de los usuarios. Los atacantes pueden utilizar las claves para acceder de manera no autorizada a los almacenes y bases de datos que contienen información confidencial.

Por ejemplo, la aplicación «Pic Stitch: Collage Maker», que ha superado los 5 millones de descargas en Google Play, contiene credenciales AWS codificadas de manera rígida. En su código se encontró una función que selecciona los datos adecuados según el entorno de uso. Los atacantes pueden acceder a las claves para operar con el almacenamiento S3 y manipular los datos sin restricciones.

Se detectaron problemas similares en las aplicaciones para iOS Crumbl, Eureka y Videoshop. En la aplicación Crumbl, que tiene millones de valoraciones en la App Store, se encontraron claves estáticas para acceder a servicios IoT de AWS a través de WebSocket Secure (WSS). Este error de configuración representa un riesgo significativo para los datos y la infraestructura.

La aplicación Eureka utiliza AWS para registrar eventos, y sus claves también están expuestas sin cifrado. En Videoshop, las claves necesarias para interactuar con S3 no están protegidas, facilitando el acceso no autorizado.

Se encontraron problemas relacionados con credenciales codificadas en aplicaciones que operan con Azure Blob Storage. Por ejemplo, la aplicación Meru Cabs, con más de 5 millones de descargas, almacena en su código una cadena de conexión con claves de acceso al almacenamiento en la nube. Se registraron problemas similares en Sulekha Business, donde las claves se utilizan para gestionar perfiles y facturación, así como en ReSound Tinnitus Relief, que trabaja con archivos de audio.

La presencia de estas aplicaciones en el dispositivo no implica necesariamente que los datos del usuario ya hayan sido comprometidos. Sin embargo, si los desarrolladores no corrigen estas vulnerabilidades, los ciberdelincuentes podrían aprovecharlas para acceder a la información.

Para proteger los datos, se recomienda seguir las siguientes prácticas recomendadas:

• Almacenar las claves en variables de entorno en lugar de integrarlas en el código.
• Utilizar gestores de secretos, como AWS Secrets Manager o Azure Key Vault.
• Cifrar los datos y descifrarlos solo durante la ejecución.
• Realizar auditorías de seguridad periódicas y revisiones de código.
• Integrar herramientas de seguridad automatizadas en el proceso de desarrollo.

Seguir estas recomendaciones ayudará a minimizar los riesgos y mejorar la seguridad de las aplicaciones. Los incidentes descubiertos en estos ejemplos subrayan la importancia de priorizar la seguridad en todas las etapas del desarrollo.