Filtración del juego de gatos de iOS expone a 450.000 usuarios

Iniciado por AXCESS, Mayo 08, 2025, 03:58:12 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 08, 2025, 03:58:12 PM


El juego para iOS dejó a casi medio millón de usuarios expuestos a hackers que podrían rastrearlos, piratear sus cuentas de Facebook o incluso usar el backend de la aplicación como arma.

Investigadores de Cybernews han descubierto que el juego para iOS "Cats Tower: The Cat Game!" ha estado exponiendo las IP de los jugadores y, en algunos casos, tokens de acceso de Facebook.

En la App Store de Apple, el desarrollador de la aplicación aparece como Rhino Games; sin embargo, su política de privacidad enlaza con una página web perteneciente al desarrollador armenio de juegos móviles Next Epic LLC.

Los datos filtrados podrían permitir a los hackers rastrear el rastro en línea de los usuarios, piratear Facebook y determinar su ubicación. Si bien las direcciones IP no son coordenadas GPS, pueden dar una idea inquietantemente precisa de dónde vive alguien, especialmente al cruzarlas con otros datos públicos o filtrados.

Parte de la información filtrada incluía ID de usuario de Facebook y tokens de acceso. Si bien la cantidad de datos de Facebook fue menor en comparación con la filtración de IP y nombres de usuario, exponerlos es extremadamente peligroso.

Estos tokens de acceso podrían permitir a los atacantes acceder a tu cuenta de Facebook y empezar a publicar estafas con criptomonedas o enviar enlaces de phishing a tus amigos.

Cybernews se ha puesto en contacto con la empresa en repetidas ocasiones, pero no ha recibido respuesta.

¿Qué expuso la aplicación de juego para iOS?

Nombres de usuario
Direcciones IP
ID de Facebook y tokens de acceso
Secretos codificados

La aplicación ha estado filtrando datos confidenciales de los usuarios debido a una configuración incorrecta de Firebase.

En el momento de la investigación, la instancia de Firebase expuesta filtraba las direcciones IP y los nombres de usuario de más de 450.000 usuarios, junto con 229 pares de ID de usuario de Facebook y tokens de acceso.

Firebase se utiliza habitualmente como una base de datos temporal. Se vacía periódicamente a medida que se sincroniza con un backend más permanente, lo que significa que lo que era visible en ese momento podría ser solo la punta del iceberg.

Un atacante astuto podría haber configurado un scraper para monitorear discretamente la base de datos en tiempo real, extrayendo datos nuevos a medida que aparecían, convirtiendo una sola filtración en una operación de vigilancia continua.

Un juego para iPhone filtra información sensible

Para empeorar las cosas, el código base de la aplicación estaba plagado de información sensible, comúnmente conocida como secretos. Estos nunca deberían ser visibles para nadie ajeno al equipo de desarrollo, especialmente si se dejan accesibles a cualquier persona en internet.

Lista de secretos filtrados por el juego para iPhone:

ID de cliente
ID de cliente invertido
ID de cliente de Android
Clave API
ID de proyecto
Depósito de almacenamiento
ID de la aplicación de Google
URL de la base de datos
Identificador de aplicación GAD

Los secretos expuestos se encuentran entre los 10 secretos más filtrados entre las aplicaciones de iOS.

Los expertos en ciberseguridad advierten que dejar claves API, credenciales y otra información sensible en el código de la aplicación publicada (o, en otras palabras, codificarlas) es una práctica peligrosa que podría abrir la puerta a los atacantes.

Con los secretos en su poder, un actor de amenazas podría mapear toda la infraestructura de backend de la aplicación, abusar de sus propios servicios para recopilar más datos de los usuarios, generar solicitudes falsas o incluso enviar spam directamente a través de la infraestructura de la aplicación, utilizándola como arma desde dentro. Las aplicaciones iOS no pueden guardar secretos.

La filtración actual se descubrió en el marco de una investigación de Cybernews, donde los investigadores analizaron 156.000 aplicaciones iOS, aproximadamente el 8% de toda la App Store.

Los investigadores descubrieron algo realmente alarmante: los desarrolladores de aplicaciones codifican de forma rutinaria credenciales confidenciales directamente en el código de sus aplicaciones, dejándolas expuestas. Es preocupante que el 71% de las aplicaciones analizadas filtren al menos un secreto, y el código de una aplicación promedio exponga 5,2 secretos.

Algunos casos son extremadamente problemáticos. Cybernews descubrió que varias apps de citas populares para iOS filtraban credenciales codificadas, lo que daba acceso a almacenamiento en la nube que contenía casi 1,5 millones de fotos de usuarios. Los datos filtrados incluían imágenes eliminadas, contenido que infringía las normas e imágenes privadas enviadas a través de mensajes privados.

En otro caso, una app para iPhone diseñada para ayudar a las familias a rastrear su ubicación filtraba coordenadas GPS en tiempo real. A su vez, un bloqueador de spam para iPhone, diseñado para proteger a los usuarios de llamadas automáticas y mensajes de texto maliciosos, filtraba números bloqueados, palabras clave y tickets de soporte al cliente con nombres y correos electrónicos reales.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario