Una falla de seguridad que expone a los usuarios de teléfonos inteligentes iOS y Android, al robo de identidad ha sido descubierta en aplicaciones móviles para Facebook, Dropbox, y LinkedIn. Los propietarios de teléfonos inteligentes harían bien en tomar precauciones adicionales para proteger sus dispositivos, ya que la falla puede estar presente también en otras aplicaciones móviles.
El fallo expone a los usuarios al robo de identidad por el almacenamiento de las claves de autenticación de usuarios para fácil acceso, en archivos de texto plano sin encriptar, o plists.. Al robar los archivos y transferirlos a otro dispositivo – independientemente de si el dispositivo está comprometido o no por los delincuentes- un ladrón cibernético puede acceder a las cuentas asociadas de la víctima sin tener que introducir ningúna credencial de acceso. El investigador de seguridad Gareth Wright reportó el descubrimiento de la falla en la aplicación móvil de Facebook para iOS a finales de la última semana. Wright envió su Facebook plist a un asociado –Neil Cooper, blogger de Scooppz – que copió el archivo en su propio dispositivo, abrió la aplicación de Facebook, y tuvo acceso inmediato, a la cuenta completa de Wright en Facebook. Según Wright, Facebook está trabajando en el cierre del agujero “pero a menos que los desarrolladores de aplicaciones sigan el ejemplo y empiecen a usar la encriptación de los token de acceso de 60 suministrados por Facebook, es sólo cuestión de tiempo antes de que alguien comience a utilizar la información para propósitos malos -si es que no está ocurriendo ya “. Wright no probó la versión de Android por la falla. El escribió sin embargo, que “dada la supervisión de la programación en la aplicación de iOS, es razonable pensar que el problema ocurre en otras plataformas.” Desde que Wright publicó sus hallazgos, The Next Web encontró que la aplicación de iOS para Dropbox también tiene el defecto, así como la aplicación de LinkedIn para iOS, de acuerdo con Scoopz. La falla también está presente en varios juegos de iOS, de acuerdo con Wright, algo que los jugadores pueden aprovechar para hacer trampa. Teniendo en cuenta que la falla está presente en aplicaciones para Facebook, Dropbox, LinkedIn, y varios juegos, es completamente probable que a otras aplicaciones móviles les ocurra lo mismo –lo que significa que le toca a los desarrolladores comprobar cómo sus productos manejan la información de perfil. Según Wright, el mayor riesgo que un usuario enfrenta es el de malware diseñado para extraer los datos de dispositivos conectados al PC, por ejemplo, para la carga. Wright ofrece los siguientes consejos para proteger su teléfono inteligente. En primer lugar, establecer una contraseña compleja y no un simple PIN de cuatro dígitos, para su dispositivo. En segundo lugar, activar en el dispositivo la función Find My iPhone. En tercer lugar, si conecta el dispositivo a una computadora compartida para cargarlo, no desbloquee el dispositivo hasta que lo desconecte. Ted Samson