Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/06/2014
PlayDrone: tokens d’autenticació en aplicacions Google Play
Un grup d’investigadors de la Universitat de Columbia han publicat un paper titulat A Measurement Study of Google Play, on expliquen com han fet un estudi sobre les aplicacions publicades en Google Play i els resultats descoberts, i crida poderosament l’atenció el descobriment dels tokens d’autenticació en hard-code en el codi de les aplicacions.
Els membres de l’equip, Nicolas Viennot, Edward Garcia i Jason Nieh han construït PlayDrone per a analitzar-les. És un sistema que fa un rastreig de tot Google Play per a descobrir el màxim nombre d’aplicacions i descarregar-les. Fer això no és trivial, ja que Google no permet fer-ho, de manera que han hagut d’utilitzar tècniques conegudes per la indústria de seguretat per a obtindre'n la màxima visibilitat.
Una vegada aconseguides les aplicacions, més de 1.000.000 de distintes, els investigadors han fet una sèrie de catalogació de les aplicacions basant-se en les llibreries que utilitzen, els tipus de servicis que oferixen, etcètera, que sempre van bé per a poder entendre millor Google Play.
Açò és important, sobretot vista la indústria de Fake Apps que s’ha creat al voltant d’Android, per a poder localitzar les que fan servir els mateixos patrons, com per exemple les mateixes llibreries de publicitat. O per a localitzar aplicacions malicioses que et volen robar el WhatsApp perquè un altre et puga espiar, o els números de telèfon del teu terminal per a fer subscripcions a sistemes SMS Premium.
Però el que més crida l’atenció és que després de descompilar totes les aplicacions han buscat tokens OAuth i credencials per a l’API d’AWS (Amazon Web Services) i han pogut descobrir milers i milers de tokens en hard-code, incloent-hi els de comptes de Facebook, Twitter, Linkedin, Flickr, BitLy, FourSquare, etcètera.
Podeu ampliar la notícia en el següent enllaç.