Un nuevo caso de privacidad sacude al ecosistema móvil: más de 150.000 smartphones Android han quedado expuestos después de que tres aplicaciones de Google Play Store filtraran datos sensibles sin que los usuarios lo supieran. La reciente investigación revela que información personal, fotos y coordenadas GPS quedaron visibles en internet, accesibles incluso para ciberdelincuentes.
Este nuevo hallazgo, reportado por Cybernews, muestra que las apps -descargadas más de dos millones de veces- fueron publicadas por el desarrollador MobilMinds, vinculado a la empresa OZI Technologies Private Limited. Las tres herramientas, basadas en inteligencia artificial y orientadas a identificar animales e insectos, exponían los datos sin cifrado ni protección.
Cómo estas apps filtraron los datos de 150.000 smartphones Android
Las aplicaciones cometieron un error básico pero grave: usaban bases de datos Firebase mal configuradas, sin contraseña y con permisos de lectura y escritura totalmente abiertos. Esto permitió que cualquier persona en internet pudiera acceder a la información y, en el peor de los casos, modificarla.
La información de geolocalización proporcionada por las aplicaciones puede revelar la ubicación de los usuarios o sus patrones de viaje, lo cual podría ser explotado por actores maliciosos, señala el informe de Cybernews.
Estas son las aplicaciones afectadas:
- Dog Breed Identifier Photo Cam (500.000 descargas, 66.182 usuarios afectados)
- Spider Identifier App by Photo (500.000 descargas, 40.779 usuarios afectados)
- Insect Identifier by Photo Cam (1 millón de descargas, 45.005 usuarios afectados)
Bases de datos sin seguridad: un acceso directo a tu ubicación
Los investigadores descubrieron que las apps enviaban datos personales a instancias públicas de Firebase. Entre la información expuesta había direcciones de correo electrónico, nombres completos, fotos de perfil y coordenadas GPS extraídas de los metadatos de las imágenes enviadas por los usuarios. El resultado: la ubicación exacta de los dispositivos podía ser consultada libremente en la web.
Evidencias de que los ciberdelincuentes ya accedieron
El equipo de Cybernews encontró rastros de scripts automatizados utilizados por hackers para escanear internet en busca de servicios mal configurados. Todo indica que terceros maliciosos descubrieron las bases de datos antes que los propios investigadores, lo que aumenta el riesgo de robo, venta y combinación de esos datos con filtraciones anteriores.
El desarrollador no responde y las apps siguen activas
A pesar de múltiples intentos de contacto, MobilMinds no ha ofrecido declaraciones. Peor aún: las tres apps continúan disponibles en Google Play Store, junto con otras herramientas del mismo desarrollador.
Los expertos recuerdan que siempre es recomendable revisar opiniones, permisos solicitados y reputación del creador antes de instalar cualquier aplicación. El incidente supone una alerta seria para millones de usuarios, especialmente en una época en la que la privacidad en Android es más vulnerable que nunca.