Jue 31.Oct.2024 14:38 hs.

Buenos Aires
T: 27°C  H: 45%

 | MINISTERIO DE CIENCIA

Investigadores de la Fundación Sadosky descubren fallas de seguridad en aplicaciones para Android

Expertos en seguridad informática de la Fundación Sadosky, dependiente del Ministerio de Ciencia, comprobaron problemas de seguridad en las aplicaciones PicsArt, MercadoLibre y Prey Anti Robos para el sistema operativo Android.

27.11.2014 03:02 |  Noticias DiaxDia  | 

Investigadores del Programa de Seguridad en TIC de la Fundación Sadosky descubrieron vulnerabilidades en aplicaciones de PicsArt, MercadoLibre y Prey Anti Robos para el sistema operativo Android. Hasta la publicación de los boletines de seguridad por parte de la Fundación, y habiendo cumplido con el proceso de reporte de problemas con los desarrolladores de las aplicaciones, MercadoLibre y Prey Anti robos lanzaron actualizaciones con los inconvenientes solucionados, mientras que PicsArt todavía es permeable a vulnerabilidades.

PicsArt permite a sus usuarios tomar, editar, publicar y compartir fotos directamente desde la aplicación móvil en el sitio web propio y en redes sociales como Facebook, Twitter y Google+. Según el fabricante, la aplicación fue instalada más de 175 millones de veces, crece mensualmente en 7 millones de descargas y tiene 45 millones de usuarios registrados activos por mes.

Originalmente, esta aplicación para Android no utilizaba HTTPS para enviar datos sensibles a sus servidores, permitiendo que un atacante tomara el control de cuentas de usuarios con solo capturar el tráfico de red. Después que la Fundación reportara el problema a los desarrolladores, la aplicación empezó a utilizar HTTPS pero sin validar los certificados SSL presentados por el servidor al establecerse la comunicación, lo que permite realizar ataques de intermediación (Man-In-The-Middle). La consecuencia es que un atacante todavía puede obtener el control de la cuenta de un usuario cualquiera de PicsArt.

Otro inconveniente registrado fue que, durante el procedimiento de inicio de sesión, el servidor de PicsArt no verifica que los tokens de acceso de Google+, Facebook y Twitter sean válidos. Como consecuencia, un atacante puede enviar un pedido de inicio de sesión dando el identificador de cualquier usuario de una red social y obtener las credenciales de PicsArt asociadas a ese usuario de Google+, Facebook o Twitter. Esto permite al atacante obtener acceso a cualquier cuenta de un usuario de PicsArt creada a partir de una cuenta de red social de terceros. Además, el atacante puede también obtener los tokens de acceso para cuentas en redes sociales de terceros (Facebook, Twitter, Google+) de cualquier usuario de PicsArt. Este problema afecta a todos los usuarios de PicsArt que accedan a su cuenta mediante Google+, Facebook o Twitter.

Una solución para evitar que los atacantes comprometan sus cuentas de Facebook, Twitter o Google+ es deshabilitar el acceso de la aplicación PicsArt a su perfil. Se recomienda a los usuarios preocupados por la protección de su privacidad y la seguridad de sus datos personales dejar de usar la aplicación hasta tanto el fabricante publique una versión que realice correctamente la validación de los certificados SSL y solucione el problema de verificación de credenciales de acceso en el servidor.

MercadoLibre es una empresa dedicada al comercio electrónico y servicios relacionados que opera en 13 paises. Registra entre 10 y 50 millones de instalaciones según datos de Google Play. Las versiones vulnerables de la aplicación para Android no verifican que el certificado SSL presentado por el servidor sea válido. Como resultado es posible realizar ataques de intermediación (Man-in-the-Middle) al tráfico entre la aplicación y el servidor utilizando certificados SSL fraguados y capturar información sensible del usuario, como su nombre y clave de cuenta en MercadoLibre o los datos de las tarjetas de crédito que utiliza.

El problema fue solucionado por el fabricante en la última versión disponible de la aplicación. En caso que los usuarios tengan instaladas versiones anteriores a la 3.10.6 deberán actualizarla por la última disponible. Para verificar la versión de la aplicación instalada en los dispositivos con Android, ingresar a "Ajustes/Aplicaciones" y luego hacer click en MercadoLibre.

Por su parte, Prey Anti Robos es una aplicación gratuita que permite a usuarios de teléfonos inteligentes rastrear y localizar sus dispositivos móviles en caso de que hayan sido perdidos o robados. Provee una forma de obtener remotamente la ubicación geográfica precisa de un dispositivo, bloquearlo, sacar fotos, reproducir sonidos de alarma y mostrar mensajes en la pantalla. Según estadísticas del mercado de aplicaciones Play de Google tiene entre 1 y 5 millones de instalaciones mundialmente.

La comunicación entre la aplicación Prey Anti Robos en ejecución en el dispositivo y el servidor web es realizada vía HTTPS, un mecanismo de transporte que busca garantizar confidencialidad e integridad de los datos mediante cifrado. Sin embargo, los certificados SSL no son validados al iniciar una conexión. Como resultado, un ataque de intermediación de tráfico (Man-in-the-Middle) brinda la posibilidad al atacante de presentar certificados SSL falsos y enviar un pedido de comando de bloqueo con una contraseña especificada. De este modo se puede subvertir el propósito de la aplicación y evitar que funcione como mecanismo anti-robo con bloqueo y rastreo de dispositivos. Luego el atacante podría desbloquear el dispositivo manualmente con la contraseña que especificó. También otros ataques son posibles dado que toda la comunicación entre el dispositivo y el servidor puede ser inspeccionada y modificada.

El problema fue solucionado por los desarrolladores en la última versión disponible de la aplicación. Para protegerse, los usuarios que tengan instalada versiones iguales o anteriores a las 1.1.3 deberían desinstalar la aplicación o actualizarla por la última versión disponible.

El proyecto "Marvin" del Programa de Seguridad en TIC de la Fundación se enfoca en determinar características de seguridad y protección de datos de las aplicaciones para teléfonos móviles de uso más frecuente o masivo. Al encontrar vulnerabilidades en las aplicaciones investigadas, se realiza un proceso de identificación, documentación y reporte de problemas de seguridad a los fabricantes del software o responsables de su seguridad, procedimiento que es conocido como "Vulnerability Disclosure". A partir de este procedimiento, se publican y difunden los resultados a fin de informar a la población potencialmente afectada, dándole a su vez recomendaciones para su protección o mitigación del riesgo.

Al reconocer una vulnerabilidad, el equipo de la Fundación procede a intentar identificar al responsable o fabricante del software, notificándolo del problema, informándole la intensión de ayudar a su resolución y aclarándole que se publicará y difundirá el inconveniente y su potencial solución para protección de los usuarios. Asimismo la Fundación buscará acordar y coordinar con el responsable o fabricante la forma y tiempo necesarios para la resolución de la falla y, una vez resuelto el problema de seguridad o cumplido el plazo acordado con el fabricante para tal fin, publicar un reporte técnico. Para acceder a los reportes ingrese en: http://bit.ly/1tNofg2 .

Sobre la Fundación Sadosky

La Fundación Dr. Manuel Sadosky de Investigación y Desarrollo en las Tecnologías de la Información y Comunicación es una institución público privada cuyo objetivo es favorecer la articulación entre el sistema científico tecnológico y la estructura productiva en todo lo referido a la temática de las tecnologías de la información y comunicación (TIC).

Creada a través del Decreto Nro. 678/09 del Poder Ejecutivo Nacional, es presidida por el ministro de Ciencia, Tecnología e Innovación Productiva, Lino Barañao. Sus vicepresidentes son los presidentes de las Cámaras más importantes del sector TIC: la Cámara de Empresas de Software y Servicios Informáticos (CESSI) y la Cámara de Informática y Comunicaciones de la República Argentina (CICOMRA).

COMENTARIOS
síganos en Facebook