Video: FIREBASE CRASHLYTICS Android 🔥 Cómo detectar BUGS en Android Studio (Noviembre 2024)
Hemos analizado varias aplicaciones para Android que recopilan, parafraseando a John Hodgman, más información de la que requieren. También hemos analizado varias aplicaciones que manejan mal esa información, lo que permite extraerla o interceptarla fácilmente. Esta semana, Appthority nos muestra una aplicación que hace ambas cosas y también transmite su información a cualquier otro servidor con el que contacte.
La aplicación de cupones
Appthority nos ofreció una aplicación llamada The Coupons App actualmente en Google Play, que incluye un conjunto de herramientas para conectarlo con ofertas en todo, desde restaurantes hasta gas. Pero en su análisis, Appthority descubrió que la aplicación The Coupons App "envía continuamente información privada a través de la red sin protegerla con cifrado". Esto incluye la identificación de su dispositivo o el número IMEI, su número de teléfono, su dirección de correo electrónico, su código postal y la ubicación geográfica exacta de su dispositivo.
Muchas aplicaciones recopilan este tipo de información, algunas para su propio análisis y otras para vender a redes publicitarias de terceros. Desafortunadamente, Android no te da la capacidad de controlar a qué información pueden acceder las aplicaciones. Solo hay una advertencia de permisos de todo o nada cuando descarga una aplicación por primera vez. No encriptar la información agrava el problema, ya que alguien que espía en la red podría atraparlo durante un ataque de hombre en el medio.
Desafortunadamente, este no es el último de los pecados de la aplicación The Coupons. "Los datos privados se envían al servidor utilizado por la aplicación, pero también filtran información privada en el campo" Referer "", dijo Appthority, refiriéndose a un campo de encabezado HTML mal escrito que identifica la dirección de la página web en la que se encuentra actualmente. a la página web a la que te diriges.
Digamos que está buscando "farmacia" y The Coupons App usa una imagen de portada de libro de Amazon en los resultados de búsqueda. Cuando la aplicación se comunica con Amazon para obtener esa imagen, incluyó mucha de su información personal en el intercambio. Aquí está el ejemplo de Appthority, en negrita para enfatizar. Tenga en cuenta que la dirección de correo electrónico y el número de teléfono son claramente visibles.
Haga clic para una imagen más grande
Appthority agregó, "si la aplicación estuviera encriptando correctamente el enlace a sus servidores con los datos privados (ssl), el referente no se configuraría ni se enviaría a sitios web externos". Appthority señala que la aplicación de cupones posiblemente esté filtrando esta información a otros servidores sin saberlo.
¿Cómo puedes mantenerte seguro?
La aplicación de cupones subraya uno de los mayores problemas con la seguridad móvil: que el usuario final (usted) no siempre sabe qué actividades potencialmente peligrosas podría estar llevando a cabo una aplicación. Incluso si lee los permisos solicitados por The Coupons App, no sabría por qué estaba recolectando información o si sus datos se filtraron a otros servidores.
Además, las limitaciones de Android no le permiten controlar qué aplicaciones pueden acceder a cierta información, como su ubicación actual. En el caso de la aplicación The Coupons, esto significa que simplemente usarla, y otras personas con problemas similares, pone en riesgo su información.
Por el momento, parece que la aplicación The Coupons App debe evitarse hasta que los desarrolladores solucionen estos problemas de seguridad.
