Actualmente hay una aplicación móvil relacionada con cualquier
necesidad o pasatiempo, incluso para arreglar encuentros casuales con
completos desconocidos. No obstante, al igual que cualquier servicio en
línea, este tipo de aplicaciones están expuestas al interés de actores
de amenazas, lo que podría comprometer la información y algunos usuarios
e incluso algunos aspectos de su vida personal, afirman expertos en seguridad de aplicaciones web.
Uno de los casos más recientes es
el de 3Fun, descrita por sus desarrolladores como “una app
de citas ideal para parejas curiosas y solteros”. Se trata de un
servicio para mayores de 18 años que actualmente cuenta con más de 1.5 millones
de usuarios en todo el mundo, acorde a los datos de los creadores.
Aunque los desarrolladores de
3Fun sostienen que la app cuenta con las mejores protecciones de privacidad,
como el uso de álbumes de fotos privados, los especialistas en seguridad de
aplicaciones web de la firma Pen Test Partners afirman lo contrario. Un estudio
realizado por esta firma menciona que 3Fun es, probablemente, la peor
aplicación de citas en términos de seguridad informática.
Este fiasco de privacidad, además
de exponer la ubicación en tiempo real de los usuarios (sin importar dónde
estuvieran), llegó a filtrar datos confidenciales como fechas de nacimiento,
preferencias sexuales, historial de conversaciones en la app y fotos privadas.
Acorde a los especialistas en seguridad
de aplicaciones web, la filtración de datos de ubicación de los usuarios de
esta clase de apps se debe a una técnica conocida como ‘trilateración’. Este
ataque consiste en falsificar las coordenadas GPS y abusar de algunas
características de estas apps para determinar la ubicación de los usuarios. No
obstante, esta investigación destaca que, en el caso de 3Fun, los hackers no requieren
realizar labores tan sofisticadas, pues la app es por sí misma insegura y
filtra detalles sensibles de los usuarios.
En otras palabras, no se requiere
de un software para calcular una ubicación a partir de la distancia entre
objetivos. “La latitud y longitud de los usuarios se encuentra disponible
para cualquiera que sepa dónde buscar estos datos”, agregan los expertos.
Aunque los usuarios pueden
restringir la exposición de sus datos de ubicación en el menú de
configuraciones de la app, estos datos son enviados a los servidores de 3Fun
mediante una solicitud GET, por lo que se encuentran totalmente expuestos para
cualquier interesado. “La filtración ocurre del lado del cliente, por lo
que estos datos pueden ser consultados en la API para determinar la posición
del objetivo”. Los especialistas incluyeron una demostración de cómo
acceder a la ubicación exacta de un usuario usando este método.
Si bien esta técnica puede
resultar divertida para algunas actividades de ocio, expertos en seguridad de
aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS)
afirman que, en combinación con datos filtrados del usuario, como nombre o
fecha de nacimiento, es posible realizar algunas actividades maliciosas, como
acoso o extorsión, sin mencionar que las fotos privadas de los usuarios también
están disponibles a través de la API.
Aunque esta investigación ya ha
concluido, los expertos afirman que es altamente probable encontrar más vulnerabilidades
de seguridad en esta app.
Aunque los desarrolladores fueron
notificados sobre estas fallas hace más de un mes, su respuesta fue poco
satisfactoria, pues sólo respondieron con un mensaje: “Gracias por su
amable notificación. El problema será solucionado a la brevedad. Si tiene otra
sugerencia, la escucharemos. Saludos.”
A pesar de las múltiples fallas
en la app, después de recibir algunos consejos de los expertos, los
desarrolladores corrigieron estos errores poco tiempo después.
Fuente: https://noticiasseguridad.com/
No olvides Compartir...
No olvides Compartir...
Siguenos en twitter: @disoftin
0 Comentarios