Una aplicación expuso las contraseñas de 1,7 millones de usuarios

aplicación

La aplicación ya fue eliminada de Google Play.

Las aplicaciones que reconocen y registran la ubicación los usuarios pueden exponer datos sensibles si no se diseñan de la manera adecuada. Al menos eso quedó claro en el informe «Todos tus secretos familiares nos pertenecen. Cuestiones de seguridad que preocupan en aplicaciones de rastreo», que fue presentado en la famosa convención sobre hackeo llamada Def Con, que se llevó a cabo el domingo en Las Vegas.

La investigación estuvo a cargo del instituto alemán Fraunhofer para la Tecnología de la Información Segura. Según explicaron los expertos, se detectaron fallas de seguridad en 18 aplicaciones de rastreo. El caso más grave fue el de Couple Vow (que se traduce como «votos matrimoniales» o «de pareja»), que, al ser evaluada por los investigadores, expuso las contraseñas de 1,7 millones de usuarios y algunas imágenes de desnudos.

Además, demostraron que cualquiera que consiguiera acceso a la cuenta no solo obtendría la ubicación de las personas, sino también un detalle de los texto, llamadas y cualquier otro contenido que se hubiera enviado a través del servicio de mensajería.

Los investigadores identificaron que para acceder a los datos, bastaba con hacer un pedido al servidor de la app, utilizando lo que se conoce como un «GET request». No hacía falta ingresar nombre de usuario ni contraseña, y todos los datos estaban al alcance de cualquiera porque ni siquiera estaban cifrados. Esto es una falla de seguridad básica, según explicaron.

«No hace falta atacar al servicio. Un simple pedido GET te permite obtener toda la data, porque no hay ningún tipo de pedido de autenticación», explicó a Forbes, Siegfried Rasthofer, uno de los expertos que llevó adelante la investigación.

Couple Vow ya fue eliminada de Google Play. Los investigadores también identificaron que en otras apps de esa tienda se podían explotar vulnerabilidades para acceder a cuentas de usuarios y sus comunicaciones.

Investigar y reportar vulnerabilidad es parte de las tareas que llevan a cabo los llamados «hackers de sombrero blanco». Así se conocen los expertos en seguridad informática que dan a conocer fallas para que las compañías o desarrolladores las corrijan antes de que las explote algún cibercriminal.

La convención Def Con se lleva a cabo cada año en Las Vegas, desde 1993. Suelen asistir expertos en seguridad, periodistas, miembros de organismos y estudiantes que están interesados en el hackeo ético. En el marco de este encuentro se realizan talleres, charlas y hackatones, reseña Infobae