IDG News Service. Instagram, Grindr y otras aplicaciones Android no toman las precauciones básicas para proteger la información de usuarios, poniendo privacidad en riesgo, de acuerdo con un nuevo estudio.
Los resultados provienen de UNHcFREG (University of New Haven’s Cyber Forensics Research and Education Group), la cual descubrió el año pasado vulnerabilidades en las aplicaciones de mensajería WhaysApp y Viber.
Ahora expandieron su análisis a un rango más amplio de aplicaciones de Android en búsqueda de debilidades que pusieran a los datos en riesgo de ser interceptados. El grupo lanzará un video al día durante esta semana en su canal de YouTube destacando sus descubrimientos, los cuales podrían afectar a más de 1 millón de usuarios.
“Lo que descubrimos es que los desarrolladores de aplicaciones son bastante descuidados”, comenta Ibrahim Baggili, director de UNHcFREG y editor de Journal of Digital Forensics, Security and Law en entrevista telefónica.
Los investigadores utilizaron herramientas de análisis de tráfico tales como Wireshark y NetworkMiner para ver la información que era intercambiada cuando ciertas acciones se llevaban a cabo. Lo anterior reveló cómo y dónde las aplicaciones almacenan y transmiten la información.
Por ejemplo, la aplicación Instagram de Facebook contaba con imágenes almacenadas en sus servidores sin codificación y accesibles sin autentificación. Hallaron el mismo problema en las aplicaciones OoVoo, MessageMe, Tango, Grindr, HeyWire y TextPlus en el momento en que las fotografías fueron transmitidas de un usuario a otro.
Aquellos servicios almacenaban el contenido con enlaces “http”, los cuales se reenviaban a los remitentes, aunque el problema es que “si cualquiera tiene acceso al enlace, eso significa que pueden acceder a la imagen que fue enviada. No existe autentificación”, comenta Baggili.
Los servicios deberían asegurarse que las imágenes se eliminan rápidamente de sus servidores o que sólo los usuarios autenticados tengan acceso a ellas, explica Baggili.
Otras aplicaciones tampoco codificaban las entradas de chat en el dispositivo, incluyendo OoVoo, Kik, Nimbuzz y MeetMe. Eso representa un riesgo para cualquiera que pierda su dispositivo, de acuerdo con Baggili.
“Cualquiera que obtiene acceso a tu teléfono puede ver todos los mensajes que se enviaron y recibieron”, dijo. Otras aplicaciones, añadió, no codifican las entradas de chat en el servidor.
Otro descubrimiento importante es la cantidad de aplicaciones que no utilizan SSL/TLS (Secure Sockets Layer/Transport Security Layer), o que la utilizan de forma insegura, lo que conlleva a emplear certificados digitales para codificar el tráfico de datos, explica Baggili.
Los hackers pueden interceptar el tráfico sin verificar por medio de Wi-Fi si la víctima se encuentra en una red pública. SSL/TLS se considera una precaución básica de seguridad, aún cuando en algunas circunstancias puede ser sobrepasada.
La aplicación OKCupid, utilizada por más de 3 millones de personas, no codifica los chats con SSL. Mediante un “sniffer” de tráfico, los investigadores pudieron ver el texto que estaba siendo enviado, así como la persona a la que se le enviaba, de acuerdo con uno de los videos demostrativos del equipo.
Baggili y su equipo han contactado a los desarrolladores de las aplicaciones que estudiaron, pero en muchas ocasiones no han sido recibido respuesta.
Elias Pelcastre, PCWorld en Español
—
Sigue a PCWorld en Español en…