Google Play está lleno de aplicaciones que se venden a parejas y padres que desean espiar a sus seres queridos, esas mismas aplicaciones a menudo se utilizan en relaciones abusivas y son instaladas por el abusador en el teléfono de la víctima sin que este último lo sepa
Pero resulta que una gran cantidad de ellos contienen algunas vulnerabilidades básicas pero impactantes que podrían permitir a cualquier persona iniciar sesión y espiar a los teléfonos que ejecutan el software.
En el ejemplo más preocupante, una aplicación llamada Couple Vow expuso 1.7 millones de contraseñas de usuario, completamente desprotegidas y en texto sin formato. Cualquiera que tenga acceso a una cuenta no solo tendrá todos los datos de ubicación, texto y llamadas de quien sea que esté siendo rastreado, sino todo el contenido enviado a través de la función de mensajería de la aplicación.
Una vulnerabilidad separada en la base de datos de la aplicación significó que los piratas informáticos (afortunadamente benévolos en este caso) podrían capturar los datos de 1.7 millones de usuarios en tramos de información. En algunos casos, eso incluía imágenes de desnudos.
La fuga fue descubierta por investigadores del Instituto Fraunhofer de Tecnología de Información Segura, con sede en Alemania, que están entregando sus hallazgos en la convención de hackeo DEF CON en Las Vegas el sábado. Su charla se titula sin rodeos 'Todos los secretos de su familia nos pertenecen: problemas de seguridad preocupantes en las aplicaciones de seguimiento'.
Las debilidades de Couple Vow eran rudimentarias por decir lo menos. En un caso, todo lo que los investigadores tuvieron que hacer fue solicitar los datos del servidor de la aplicación, utilizando lo que se conoce como una solicitud GET. No fue necesario ingresar un nombre de usuario o contraseña. Y todos los inicios de sesión de los usuarios se dejaron completamente sin encriptar, legibles para cualquier persona con una conexión a Internet. 'Ni siquiera tiene que atacar el servidor, una única solicitud GET le permite obtener todos los datos, ya que no había ninguna autenticación automática', dijo el investigador de seguridad de SIT Siegfried Rasthofer a Forbes.
Otra vulnerabilidad en la base de datos SQL de la aplicación permitió a los investigadores dibujar imágenes, nueve a la vez. Cuando trataron de ver si su propia imagen era accesible explotando la laguna, encontraron otras fotos que llegaban, incluso un desnudo.
Los desarrolladores de Couple Vow no respondieron a múltiples solicitudes de comentarios.
Otras 18 aplicaciones de seguimiento con millones de usuarios también fueron investigadas por Rasthofer y sus colegas Stephan Huber y Steven Arzt en el transcurso del año pasado. Todos contenían puntos débiles que podrían aprovecharse para acceder a las cuentas, incluidos los desvíos de inicio de sesión y las comunicaciones no protegidas.
Las empresas de spyware del consumidor han sido pirateadas por piratas informáticos menos bien intencionados en el último año. La firma tailandesa FlexiSpy y la compañía estadounidense Retina-X se comprometieron el año pasado.
Algunos desarrolladores de aplicaciones respondieron a las advertencias de Rasthofer, pero muchos siguen en línea y son vulnerables, incluido Couple Vow.
Y criticó la respuesta de Google a la divulgación de su equipo. 'La comunicación con Google no fue increíble', dijo. 'Fue lento y tuvimos que presionarlos ... No afectó directamente a Google, esta es quizás la razón'. Dijo que Google eliminó un puñado de aplicaciones de la Play Store, pero algunas se quedaron.
Fecha actualización el 2021-08-12. Fecha publicación el 2018-08-12. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: forbes