Habla de aplicaciones móviles populares en los sistemas operativos Android o iOS y tienes Instagram, Facebook u OkCupid encabezando la lista, entre otros. Si bien miles de millones de usuarios en todo el mundo usan estas aplicaciones actualmente, los resultados de una investigación de seguridad muestran que muchas aplicaciones famosas en el ecosistema de Android tienen prácticas de seguridad y privacidad básicas deficientes.
El Grupo de Educación e Investigación Cibernética Forense de la Universidad de New Haven ha detectado vulnerabilidades en Instagram, Grindr y OkCupid, por mencionar algunas, basadas en evaluaciones que buscaban validar el cumplimiento de las aplicaciones con las precauciones básicas para proteger la información confidencial de los usuarios y las prácticas a mantener. esos usuarios privados en línea.
El mismo equipo también realizó análisis de seguridad de muchas aplicaciones móviles en el pasado, pero solo para un número limitado de aplicaciones. Esta vez, el grupo trabajó para ampliar el alcance de su investigación y se dedicó a identificar fallas y debilidades en muchas de las aplicaciones más facturadas en el sistema operativo de Google. Las vulnerabilidades descubiertas por el equipo podrían afectar a más de mil millones de usuarios, lo que corresponde a la cantidad de usuarios de Instagram.
El director de UNHcFREG, Ibrahim Baggili, describió la forma en que se desarrollan las aplicaciones como “descuidada” en referencia a cómo se manejan los datos cuando las aplicaciones intercambian datos sobre ciertas funciones. Para averiguarlo, el equipo analizó el tráfico utilizando las herramientas Wireshark y NetworkMiner para ver cómo se transmiten los datos. En el caso de Instagram, las fotos subidas por los usuarios se encuentran almacenadas en los servidores de Instagram sin un sistema de cifrado, lo que significa que entidades de terceros pueden acceder a ellas incluso sin autenticarse.
Otras aplicaciones que resultaron ser responsables con los mismos fallos de seguridad incluyen TextPlus, MessageMe, OoVoo, HeyWire, Tango y Grindr. Teniendo en cuenta que estas aplicaciones se encuentran entre las favoritas en Android, habiendo encabezado sus respectivas categorías en términos de la cantidad de veces que se descargaron, muestra el alcance de las implicaciones de seguridad.
Los destinatarios reciben su contenido en un protocolo HTTP simple, lo que significa que no está protegido. Cuando esta URL se encuentra accidentalmente en manos de otros, pueden ver fácilmente el enlace y el contenido, lo que podría poner en peligro la privacidad de los usuarios.
El equipo de investigación recomienda que esas aplicaciones eliminen las imágenes de sus servidores o, al menos, implementen una especie de proceso de validación para aquellos que quieran ver el contenido. Pero ese nunca ha sido el caso.
Se encontró que algunos mensajes no estaban encriptados, como en el caso de OoVoo y MeetMe.
Todas estas vulnerabilidades de seguridad hacen que los datos estén expuestos a piratas informáticos en redes inalámbricas públicas, en lo que hoy se conoce como ataque man-in-the-middle.
