Drupe es una aplicación de marcado popular que incorpora diferentes aplicaciones bajo un mismo techo, creando una especie de aplicación de contactos "maestra".
La semana pasada, la aplicación se eliminó de Play Store cuando se descubrió que los datos del usuario estaban disponibles en línea para cualquier persona que supiera dónde encontrarlos.
Drupe está de vuelta en Play Store ahora y la vulnerabilidad se ha corregido. Pero es eso suficiente?
La semana pasada, se descubrió una vulnerabilidad de seguridad en la popular aplicación de marcado Drupe que dejó los datos de decenas de miles de usuarios abiertos a cualquiera que quisiera verlos. Cuando se expuso la vulnerabilidad, la aplicación Drupe se eliminó de Google Play Store .
Sin embargo, la aplicación ahora está de vuelta en Google Play Store para cualquiera que desee descargarla. Acabo de probar una descarga, instalación y activación de la aplicación en mi OnePlus 5 con Android 8.1 Oreo , y todo salió como lo esperaba.
La pregunta es: ¿Cuántas personas conservarán la aplicación después de la exposición de esta vulnerabilidad masiva?
Los problemas de seguridad de Drupe fueron sacados a la luz por primera vez por la investigadora de seguridad Simone Margaritelli , quien se comunicó con Motherboard sobre el tema. Margaritelli descubrió las vulnerabilidades y comenzó a twittear en vivo sus hallazgos ; sin embargo, no reveló el nombre de la aplicación que estaba investigando en ese momento.
Margaritelli descubrió que parte de la gran cantidad de datos que Drupe recopila de los usuarios se almacenaba en un servidor inseguro de Amazon Web Services. Eso significa que cualquiera que sepa dónde mirar podría ver historiales de llamadas, imágenes e incluso grabaciones de audio de mensajes.
La placa base verificó la información de Margaritelli y descubrió que, de hecho, era fácil para cualquier persona acceder a los datos en el servidor. Además, el equipo descubrió que, en teoría, uno podía extrapolar fácilmente los ID de usuario y así acceder a la historia de Drupas completa de un usuario.
Cualquier persona con una conexión a Internet y el conocimiento de dónde buscar tenía acceso a los datos de usuario de Drupe.
Mientras Margaritelli twiteaba en vivo esta información, alguien más remontó la aplicación de la que trataban los tweets. Este usuario lo informó a Google , que a su vez eliminó a Drupe de la tienda Google Play en algún momento del martes de la semana pasada.
Drupe publicó en su blog que corrigió la vulnerabilidad de seguridad "dentro de una hora" de descubrimiento. También aclaró que solo alrededor del 3 por ciento de los usuarios de Drupe se vieron afectados por la vulnerabilidad.
Sin embargo, toda la situación genera una gran preocupación sobre el uso de Drupe: ¿cuánta información exactamente recopila la aplicación de sus usuarios y realmente necesita tanto?