Argentinos detectaron vulnerabilidades en Android
Expertos en seguridad informática de la Fundación Sadosky descubrieron fallas en las versiones para Android de las aplicaciones PicsArt, Mercado Libre y Prey Anti Robos. Las dos últimas fueron parchadas y actualizadas.
Hasta el momento, Mercado Libre y Prey Anti Robos lanzaron sus respectivas actualizaciones que resuelven los inconvenientes solucionados, mientras que PicsArt aun es susceptible de recibir ataques, según informó el Ministerio de Ciencia, Tecnología e Innovación Productiva en un comunicado.
PicsArt es una aplicación para smartphones con más de 45 millones de usuarios mensuales que permite sacar, editar y compartir fotografías en redes sociales.
La falla reportada permite el acceso de un atacante a tomar el control de la cuenta de un usuario cualquiera.
«La aplicación de PicsArt para Android no utilizaba HTTPS para enviar datos sensibles a sus servidores. Después que la Fundación reportara el problema a los desarrolladores, la aplicación empezó a utilizar HTTPS pero sin validar los certificados SSL presentados por el servidor al establecerse la comunicación, lo que permite realizar ataques de intermediación», se explicó en el comunicado.
Además, el atacante podría acceder a los perfiles de redes sociales en aquellos que hayan utilizado sus cuentas de Facebook o Twitter para registrarse en la aplicación de fotografía.
Desde la Fundación recomiendan a los usuarios deshabilitar el acceso de la aplicación PicsArt desde redes sociales y dejar de usar el servicio hasta tanto el fabricante realice una versión que solucione el problema.
Los hallazgos fueron realizados en el marco del proyecto «Marvin», perteneciente al Programa de Seguridad en TIC de la Fundación Sadosky, cuyo objetivo analizar las características de seguridad y protección de datos de las aplicaciones para teléfonos móviles de uso más frecuente o masivo.
«Realizamos investigaciones de aplicaciones de uso masivo, por su gran cantidad de descargas tanto a nivel mundial como local, y en sistemas operativos Android», explicó a Télam Iván Arce, director del Programa de Seguridad en TIC de la Fundación Sadosky, del Ministerio de Ciencia y Tecnología de la Nación.
«Buscamos determinar cuáles son las medidas de seguridad en la aplicaciones y si los fabricantes toman recaudos en la protección de datos de los usuarios», sostuvo Arce.
En cuanto al criterio de selección de aplicaciones para su posterior análisis, Arce explicó que se basan en la cantidad de usuarios que la utilizan o por los datos sensibles que administra.
Como ejemplo, detalló el caso de las app de entidades bancarias o aquellas que permiten la comunicación por voz, que permite ser interceptadas si presentan alguna falla.
Ante la detección de una vulnerabilidad en las aplicaciones investigadas, los especialistas de la Fundación comienzan un proceso que incluye la documentación y reportes de problemas de seguridad informática a los desarrolladores o responsables del software.
El procedimiento, conocido como «Vulnerability Disclosure», incluye la publicación y difusión de los resultados con el fin de informar a los potenciales afectados para la protección y prevención de sus datos privados.
En cuanto a la aplicación de Mercado Libre, la compañía puso a disposición una nueva versión de su aplicación para Android (la 3.10.6) que corrige la vulnerabilidad que permitía capturar información sensible de un usuario como su nombre o datos de tarjetas de crédito.
De igual manera, Prey Anti Robos, la aplicación que se utiliza para rastrear y localizar dispositivos que hayan sido robados o perdidos; la falla permitía «subvertir el propósito de la aplicación», según detallaron los especialistas.
Por este motivo, se recomienda a los usuarios que tengan instalada versiones iguales o anteriores a las 1.1.3, actualizarla por la última versión disponible.
En agosto pasado, se conoció otro caso en el que miembros de la Fundación descubrieron una vulnerabilidad en la aplicación de la red social Facebook, que permitía capturar videos y grabaciones de audio de otro usuario, así como utilizarle de forma remota el teléfono para navegar la Internet.
En aquella ocasión, los investigadores se contactaron con responsables de la red social, quienes las repararon y publicaron la actualización de la app con las mejoras requeridas.