Muchos desarrolladores continúan incluyendo tokens de acceso a información sensible y claves API dentro de sus aplicaciones móviles, poniendo en riesgo datos y otros activos almacenados en servicios de terceros.

Un nuevo estudio, realizado por la compañía de ciberseguridad Fallible sobre 16 mil aplicaciones Android, reveló que cerca de 2,500 tienen algún tipo de credenciales secretas “hardcodeadas” en ellas. Las aplicaciones fueron escaneadas con una herramienta en línea liberada por dicha compañía en noviembre.

Las contraseñas de acceso hardcodeadas en servicios de terceros dentro de las aplicaciones pueden justificarse cuando permiten un acceso limitado, sin embargo, en algunos casos, los desarrolladores incluyen contraseñas que permiten acceso a datos sensibles o a sistemas de los que se podría abusar.

Este fue el caso de 304 aplicaciones encontradas por Fallible que contenían acceso a tokens y claves API de servicios como Twitter, Dropbox, Flickr, Instagram, Slack o Amazon Web Services (AWS).

300 aplicaciones de 16,000 podrían parecer pocas, pero dependiendo del tipo de privilegios asociados a ellas, una única pérdida podría llevar a una fuga de datos masiva.

Los tokens débiles, por ejemplo, podrían otorgar acceso a registros de chat utilizados por equipos de desarrollo, y estos podrían contener credenciales adicionales para bases de datos, integración continúa de plataformas y otros servicios internos, sin  mencionar documentos compartidos y archivos.

Esta no es la primera vez que se encuentran claves API, tokens de acceso y credenciales secretas dentro de las aplicaciones móviles. En 2015, investigadores de la Universidad Tecnológica Darmstadt de Alemania descubrieron más de mil credenciales de acceso en framework almacenados dentro de las aplicaciones iOS y Android. Estas credenciales desbloquearon acceso a más de 18.5 millones de registros de bases de datos con 56 millones de unidades de datos almacenados por los desarrolladores.