Aplicaciones de Google Play deben mejorar la seguridad
En materia de seguridad, la tienda Google Play, compatible con el sistema operativo Android aún tiene muchas cosas por mejorar, según han expresado miles de usuarios, argumentando deficiencias en materia de autenticación.
Ingeniera de software de Google lo admite
En una entrevista, Isabella Chen, ingeniera de software de Google, admitió que esta situación podría ocasionar que las aplicaciones sean vulnerables a ataques, por lo que están exigiendo a los creadores y desarrolladores de estos programas a reforzar sus sistemas de protección.
Incluso puso como ejemplos algunas posibilidades que tienen los hackers para atacar las apps vulnerables, tales como el ID del usuario, la sustitución de la dirección de correo electrónico o los tokens de acceso.
Isabella Chen señaló que una vez que el usuario se registra en Google a través del sistema operativo Android, algunos de estos programas envían el nombre de email y el ID de usuario al servidor, para que sirva como credencial de identidad.
Dijo que esos puntos de entrada de información le permiten a un atacante falsificar una petición, y por consecuencia obtener acceso a la cuenta de cualquier usuario adivinando su e-mail o ID de usuario.
La ingeniera destacó que los principales problemas están vinculados con los desarrolladores que continúan utilizando GoogleAuthUtil.getToken y Plus.API, cuando ya debieron haber migrado a Sign-In API.
Apuntó que lo que sucede es que luego de registrarse en Google con Android, muchas aplicaciones remiten un token de acceso mediante GoogleAuthUtil.getToken a su servidor, para verificar la identidad.
Esta manera de comunicación directa con los servidores significa una amenaza de seguridad, puesto que la información que se comunica entre las apps y los servidores no ha sido verificada, y por ende puede estar sujeta a falsificación por parte de un atacante.
“Los tokens de acceso son portadores, lo que quiere decir entonces que los servidores no pueden verificar correctamente si el token fue emitido para ellos”, dijo Chen.
Isabella Chen, ingeniera de software de Google comentó que el ciberdelincuente puede engañar al usuario, de manera de que éste proceda a registrarse en otra aplicación y haga uso de ese token de acceso diferente, para forzar una petición a tu servidor.