App en Android dejó al descubierto 1.7 millones de contraseñas

Google Play está lleno de aplicaciones que se venden a parejas y padres de familia que desean espiar a sus seres queridos. Como Forbes ha detallado con anterioridad, esas mismas apps a menudo se usan en relaciones abusivas y son instaladas en el teléfono de la víctima sin que lo sepa. Pero resulta que una gran cantidad de esas aplicaciones contienen algunas vulnerabilidades básicas pero impactantes que permiten a cualquier persona iniciar sesión y espiar los teléfonos donde se ejecuta el software.

Un ejemplo es la aplicación llamada Couple Vow, que expuso 1.7 millones de contraseñas. Cualquiera que tenga acceso a una cuenta no solo tendrá todos los datos de ubicación, texto y llamadas de quien sea que esté siendo rastreado, sino que podrá acceder a todo el contenido enviado a través de la función de mensajería de la aplicación. Una vulnerabilidad aparte en la base de datos de la aplicación, significaba que los hakers podrían capturar los datos de 1.7 millones de usuarios. En algunos casos, eso incluía imágenes de desnudos.

La fuga fue descubierta por investigadores del Instituto Fraunhofer de Tecnología de Información Segura (SIT por sus siglas en alemán), con sede en Alemania, que expuso sus hallazgos en la convención de hackeo DEF CON en Las Vegas. Su exposición se titula: “Todos los secretos de su familia nos pertenecen: problemas de seguridad preocupantes en las aplicaciones de seguimiento”.

La seguridad de Couple Vow es rudimentaria por decir lo menos. En un caso, todo lo que los investigadores tuvieron que hacer fue solicitar los datos del servidor de la aplicación, utilizando lo que se conoce como una solicitud GET. No fue necesario ingresar un nombre de usuario o contraseña. Y todos los inicios de sesión de los usuarios se dejaron completamente sin encriptar, legibles para cualquier persona con una conexión a internet.

“Ni siquiera tienes que atacar el servidor. Una única solicitud GET le permite obtener todos los datos, ya que no hubo autentificación en absoluto”, dijo a Forbes Siegfried Rasthofer, investigador de seguridad del SIT.

Otra vulnerabilidad en la aplicación permitió a los investigadores extraer imágenes, nueve a la vez. Cuando trataron de ver si su propia imagen era accesible explotando la falla, encontraron otras fotos que llegaban, incluso con desnudos. (Los investigadores en realidad no descargaron las imágenes de nadie más, sino que solo fueron vistas previas almacenadas en el navegador, el caché del cual se eliminó rápidamente).

Los desarrolladores de Couple Vow no respondieron a múltiples solicitudes de comentarios.

Otras 18 aplicaciones de seguimiento con millones de usuarios también fueron investigadas por Rasthofer y sus colegas Stephan Huber y Steven Arzt en el transcurso del año pasado. Todos contenían puntos débiles que podrían aprovecharse para acceder a las cuentas, incluidos los desvíos de inicio de sesión y las comunicaciones no protegidas.

Google, lento para responder

Algunos desarrolladores de aplicaciones respondieron a las advertencias del investigador de seguridad de SIT, pero muchas siguen en línea y son vulnerables, incluida Couple Vow.

Rasthofer criticó la respuesta de Google a la divulgación hecha por su equipo.

“La comunicación con Google no fue increíble”, dijo. “Fue lento y tuvimos que presionarlos (…) No afectó directamente a Google; ésta es quizás la razón “.

El investigador dijo que Google eliminó un grupo de aplicaciones de Play Store, pero que algunas quedaron en el mercado.

Google no respondió a una solicitud de comentarios al momento de la publicación.