Un grupo de investigadores ciberforenses de la Universidad de New Haven, Estados Unidos, descubrió una serie de vulnerabilidades en varias aplicaciones populares de Android, tales como Instagram, Vine y OKCupid y otras. Según los expertos, los bugs podrían exponer la información de los más de 968 millones de usuarios que tienen instaladas estas apps en sus dispositivos móviles.
“Si bien toda la información que se trasmite de una persona a otra debería trasladarse de forma segura, nosotros descubrimos que las comunicaciones privadas entre los usuarios podrían ser espiadas por terceros, debido a que la información almacenada no cuenta con la encriptación adecuada”
Chris Brook, de Threatpost, reportó que la mayoría de las vulnerabilidades ocurre porque estas aplicaciones almacena el contenido de manera no cifrada en sus servidores.
“Cualquier persona que use o haya usado estas apps, está en riesgo de que su información sea interceptada por un tercero” explica Abe Baggili, profesor de ciencias de la computación en el colegio de Ingeniería de la UNH.
Según Threatpost, la función de mensajería directa de Instagram permite que se filtren fotos que los usuarios comparten entre sí. Asimismo, la app almacena en sus servidores fotos en texto plano. En esta misma línea, los investigadores también fueron capaces de visualizar información personal que los usuarios compartían en el famoso servicio de citas online OKCupid. Mientras que, la aplicación de video chat ooVoo también posee las mismas vulnerabilidades de Instagram.
Por otra parte, otras tres apps de llamadas y mensajes gratuitos: Tango, Nimbuzz y Kik tienen bugs que permiten interceptar imágenes, videos y datos de localización. En Nimbuzz, además, se descubrió que las contraseñas eran almacenadas en texto plano.
Pero la lista no termina allí, MeetMe, MessageMe y TextMe también envían información en texto plano no encriptado, lo cual podría brindarles a los atacantes la capacidad de monitorear las comunicaciones entre los usuarios que utilizan estas aplicaciones en una red local. Los investigadores también encontraron un archivo de base de datos de TextMe que almacenaba las credenciales de acceso en texto plano.
Grindr, HeyWire, Hike y TextPlus también poseen bugs similares. Mensajes, imágenes y localización pueden ser fácilmente expuestas por cibercriminales que utilizan la conocida herramienta WireShark.
“Mediante la herramienta HeliumBackup de Android, fuimos capaces de acceder a los archivos de respaldo de TextPlus”, señaló uno de los investigadores. “Cuando lo abrimos, notamos que había capturas de pantalla de actividades de usuarios que nosotros no habíamos tomado. No conocemos cuál es el motivo por el que se tomaron estas capturas de pantalla o por qué estaban almacenadas en el dispositivo”.
Finalmente, las aplicaciones de SayHi, MyChat, WeChat, GroupMe, LINE, Whisper, Voxer y Words With Friends guardan los logs de sus chats en texto plano.
“Si bien toda la información que se trasmite de una persona a otra a través de estas apps debería trasladarse de forma segura, nosotros descubrimos que las comunicaciones privadas entre los usuarios podrían ser espiadas por terceros debido a que la información almacenada no cuenta con la encriptación adecuada y los usuarios no tienen la menor idea de que esto es así”, explicó Baggli.
Decenas de apps de mensajería carece del cifrado adecuado
Tweet
Los investigadores intentaron contactar a cada uno de los desarrolladores de las aplicaciones pero, según contaron, en la mayoría de los casos se encontraron frente a formularios de soporte técnico y ningún medio de comunicación directa. Hasta el momento, ninguno de los investigadores fue notificado si estos bugs fueron reparados.
Desde Kaspersky Lab intentamos contactar a Instagram, pero la compañía tampoco ha respondido a nuestro llamado.
No obstante, CNET pudo contactar a Instagram, Kik y Grindr y, según afirmaron, las empresas le comunicaron lo siguiente: los desarrolladores de Instagram aseguraron que, actualmente, están avanzando hacia una encriptación completa de su aplicación de Android. Kik, por su parte, dijo que está trabajando para encriptar los archivos que se comparten entre los usuarios, pero que no cifrará los logs de los chats, dado que, según afirman, éstos están aislados y no son accesibles desde las apps. En tanto, Grindr dijo que tan solo monitorea los reportes de seguridad y que únicamente realiza los cambios que creen necesarios.
Traducido por: Guillermo Vidal Quinteiro