Muchas aplicaciones de Android en Google Play todavía no están siguiendo las mejores prácticas en lo que refiere a autenticación y autorización.
En un artículo en el Blog de Desarrolladores de Android, la ingeniera de software de Google Isabella Chen dijo que esto puede dejar a las apps "vulnerables a ataques". Es importante que los desarrolladores hagan sus aplicaciones lo más seguras posibles, para que estén protegidas de todo tipo de amenazas.
Chen listó algunas de las posibles líneas de ataque que los cibercriminales pueden explotar con apps vulnerables. Estas incluyen la sustitución del correo electrónico, el ID de usuario o los tokens de acceso.
"Luego de registrarte con Google en Android, algunas apps envían la dirección de correo electrónico o el ID de usuario en texto plano directamente al servidor como credencial de identidad", explicó la experta. "Estos puntos de entrada de información le permiten a un atacante falsificar una petición y obtener acceso a la cuenta de cualquier usuario adivinando su e-mail o ID de usuario".
Esto último tiene que ver con que los desarrolladores siguen usando Plus.API y GoogleAuthUtil.getToken, mientras que deberían migrar la más nueva Sign-In API. Tras registrarse con Google en Android, muchas apps envían un token de acceso (asegurado a través de GoogleAuthUtil.getToken) a su servidor como verificación de identidad.
Esta forma de comunicación directa con los servidores presenta un riesgo de seguridad, ya que la información que viaja desde la app hasta los servidores no ha sido validada y puede estar sujeta a falsificación por parte de un atacante.
"Los tokens de acceso son portadores, y los servidores no pueden verificar fácilmente si el token fue emitido para ellos", dijo Chen. "Un atacante puede engañar al usuario para que se registre en otra aplicación y usar ese token de acceso diferente para forjar una petición a tu servidor", concluyó.
Con buenas prácticas de programación que se describen en esta otra entrada del mismo blog, pueden evitarse los problemas mencionados. A manera de resumen, los programadores deberían hacer que sus apps se comuniquen de manera segura con sus propios servidores, mediante el uso de tokens validados por Google, de tal modo de asegurarse que la comunicación es con un usuario real y no con un atacante.
Sigue leyendo: 10 consejos para el desarrollo seguro de aplicaciones