Expertos en seguridad inform谩tica de la Fundaci贸n Sadosky, dependiente del Ministerio de Ciencia, comprobaron problemas de seguridad en las aplicaciones PicsArt, MercadoLibre y Prey Anti Robos para el sistema operativo Android.
Investigadores del Programa de Seguridad en TIC de la Fundaci贸n Sadosky descubrieron vulnerabilidades en aplicaciones de PicsArt, MercadoLibre y Prey Anti Robos para el sistema operativo Android. Hasta la publicaci贸n de los boletines de seguridad por parte de la Fundaci贸n, y habiendo cumplido con el proceso de reporte de problemas con los desarrolladores de las aplicaciones, MercadoLibre y Prey Anti robos lanzaron actualizaciones con los inconvenientes solucionados, mientras que PicsArt todav铆a es permeable a vulnerabilidades.
PicsArt permite a sus usuarios tomar, editar, publicar y compartir fotos directamente desde la aplicaci贸n m贸vil en el sitio web propio y en redes sociales como Facebook, Twitter y Google+. Seg煤n el fabricante, la aplicaci贸n fue instalada m谩s de 175 millones de veces, crece mensualmente en 7 millones de descargas y tiene 45 millones de usuarios registrados activos por mes.
Originalmente, esta aplicaci贸n para Android no utilizaba HTTPS para enviar datos sensibles a sus servidores, permitiendo que un atacante tomara el control de cuentas de usuarios con solo capturar el tr谩fico de red. Despu茅s que la Fundaci贸n reportara el problema a los desarrolladores, la aplicaci贸n empez贸 a utilizar HTTPS pero sin validar los certificados SSL presentados por el servidor al establecerse la comunicaci贸n, lo que permite realizar ataques de intermediaci贸n (Man-In-The-Middle). La consecuencia es que un atacante todav铆a puede obtener el control de la cuenta de un usuario cualquiera de PicsArt.
Otro inconveniente registrado fue que, durante el procedimiento de inicio de sesi贸n, el servidor de PicsArt no verifica que los tokens de acceso de Google+, Facebook y Twitter sean v谩lidos. Como consecuencia, un atacante puede enviar un pedido de inicio de sesi贸n dando el identificador de cualquier usuario de una red social y obtener las credenciales de PicsArt asociadas a ese usuario de Google+, Facebook o Twitter. Esto permite al atacante obtener acceso a cualquier cuenta de un usuario de PicsArt creada a partir de una cuenta de red social de terceros. Adem谩s, el atacante puede tambi茅n obtener los tokens de acceso para cuentas en redes sociales de terceros (Facebook, Twitter, Google+) de cualquier usuario de PicsArt. Este problema afecta a todos los usuarios de PicsArt que accedan a su cuenta mediante Google+, Facebook o Twitter.
Una soluci贸n para evitar que los atacantes comprometan sus cuentas de Facebook, Twitter o Google+ es deshabilitar el acceso de la aplicaci贸n PicsArt a su perfil. Se recomienda a los usuarios preocupados por la protecci贸n de su privacidad y la seguridad de sus datos personales dejar de usar la aplicaci贸n hasta tanto el fabricante publique una versi贸n que realice correctamente la validaci贸n de los certificados SSL y solucione el problema de verificaci贸n de credenciales de acceso en el servidor.
MercadoLibre es una empresa dedicada al comercio electr贸nico y servicios relacionados que opera en 13 paises. Registra entre 10 y 50 millones de instalaciones seg煤n datos de Google Play. Las versiones vulnerables de la aplicaci贸n para Android no verifican que el certificado SSL presentado por el servidor sea v谩lido. Como resultado es posible realizar ataques de intermediaci贸n (Man-in-the-Middle) al tr谩fico entre la aplicaci贸n y el servidor utilizando certificados SSL fraguados y capturar informaci贸n sensible del usuario, como su nombre y clave de cuenta en MercadoLibre o los datos de las tarjetas de cr茅dito que utiliza.
El problema fue solucionado por el fabricante en la 煤ltima versi贸n disponible de la aplicaci贸n. En caso que los usuarios tengan instaladas versiones anteriores a la 3.10.6 deber谩n actualizarla por la 煤ltima disponible. Para verificar la versi贸n de la aplicaci贸n instalada en los dispositivos con Android, ingresar a 芦Ajustes/Aplicaciones禄 y luego hacer click en MercadoLibre.
Por su parte, Prey Anti Robos es una aplicaci贸n gratuita que permite a usuarios de tel茅fonos inteligentes rastrear y localizar sus dispositivos m贸viles en caso de que hayan sido perdidos o robados. Provee una forma de obtener remotamente la ubicaci贸n geogr谩fica precisa de un dispositivo, bloquearlo, sacar fotos, reproducir sonidos de alarma y mostrar mensajes en la pantalla. Seg煤n estad铆sticas del mercado de aplicaciones Play de Google tiene entre 1 y 5 millones de instalaciones mundialmente.
La comunicaci贸n entre la aplicaci贸n Prey Anti Robos en ejecuci贸n en el dispositivo y el servidor web es realizada v铆a HTTPS, un mecanismo de transporte que busca garantizar confidencialidad e integridad de los datos mediante cifrado. Sin embargo, los certificados SSL no son validados al iniciar una conexi贸n. Como resultado, un ataque de intermediaci贸n de tr谩fico (Man-in-the-Middle) brinda la posibilidad al atacante de presentar certificados SSL falsos y enviar un pedido de comando de bloqueo con una contrase帽a especificada. De este modo se puede subvertir el prop贸sito de la aplicaci贸n y evitar que funcione como mecanismo anti-robo con bloqueo y rastreo de dispositivos. Luego el atacante podr铆a desbloquear el dispositivo manualmente con la contrase帽a que especific贸. Tambi茅n otros ataques son posibles dado que toda la comunicaci贸n entre el dispositivo y el servidor puede ser inspeccionada y modificada.
El problema fue solucionado por los desarrolladores en la 煤ltima versi贸n disponible de la aplicaci贸n. Para protegerse, los usuarios que tengan instalada versiones iguales o anteriores a las 1.1.3 deber铆an desinstalar la aplicaci贸n o actualizarla por la 煤ltima versi贸n disponible.
El proyecto 芦Marvin禄 del Programa de Seguridad en TIC de la Fundaci贸n se enfoca en determinar caracter铆sticas de seguridad y protecci贸n de datos de las aplicaciones para tel茅fonos m贸viles de uso m谩s frecuente o masivo. Al encontrar vulnerabilidades en las aplicaciones investigadas, se realiza un proceso de identificaci贸n, documentaci贸n y reporte de problemas de seguridad a los fabricantes del software o responsables de su seguridad, procedimiento que es conocido como 芦Vulnerability Disclosure禄. A partir de este procedimiento, se publican y difunden los resultados a fin de informar a la poblaci贸n potencialmente afectada, d谩ndole a su vez recomendaciones para su protecci贸n o mitigaci贸n del riesgo.
Al reconocer una vulnerabilidad, el equipo de la Fundaci贸n procede a intentar identificar al responsable o fabricante del software, notific谩ndolo del problema, inform谩ndole la intensi贸n de ayudar a su resoluci贸n y aclar谩ndole que se publicar谩 y difundir谩 el inconveniente y su potencial soluci贸n para protecci贸n de los usuarios. Asimismo la Fundaci贸n buscar谩 acordar y coordinar con el responsable o fabricante la forma y tiempo necesarios para la resoluci贸n de la falla y, una vez resuelto el problema de seguridad o cumplido el plazo acordado con el fabricante para tal fin, publicar un reporte t茅cnico. Para acceder a los reportes ingrese en: http://bit.ly/1tNofg2 .
Sobre la Fundaci贸n Sadosky
La Fundaci贸n Dr. Manuel Sadosky de Investigaci贸n y Desarrollo en las Tecnolog铆as de la Informaci贸n y Comunicaci贸n es una instituci贸n p煤blico privada cuyo objetivo es favorecer la articulaci贸n entre el sistema cient铆fico tecnol贸gico y la estructura productiva en todo lo referido a la tem谩tica de las tecnolog铆as de la informaci贸n y comunicaci贸n (TIC).
Creada a trav茅s del Decreto Nro. 678/09 del Poder Ejecutivo Nacional, es presidida por el ministro de Ciencia, Tecnolog铆a e Innovaci贸n Productiva, Lino Bara帽ao. Sus vicepresidentes son los presidentes de las C谩maras m谩s importantes del sector TIC: la C谩mara de Empresas de Software y Servicios Inform谩ticos (CESSI) y la C谩mara de Inform谩tica y Comunicaciones de la Rep煤blica Argentina (CICOMRA).
Fuente: Argentina.Ar
http://prensa.argentina.ar/2014/11/26/54814-investigadores-de-la-fundacion-sadosky-descubren-fallas-de-seguridad-en-aplicaciones-para-android.php
