{"id":3938,"date":"2014-09-18T17:42:28","date_gmt":"2014-09-18T17:42:28","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=3938"},"modified":"2020-02-26T09:16:37","modified_gmt":"2020-02-26T15:16:37","slug":"decenas-de-aplicaciones-populares-de-android-son-vulnerables-al-robo-de-datos","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/decenas-de-aplicaciones-populares-de-android-son-vulnerables-al-robo-de-datos\/3938\/","title":{"rendered":"Decenas de Aplicaciones Populares de Android Son Vulnerables al Robo de Datos"},"content":{"rendered":"<p>Un grupo de <a href=\"http:\/\/www.unhcfreg.com\/\" target=\"_blank\" rel=\"noopener nofollow\">investigadores ciberforenses de la Universidad de New Haven<\/a>, Estados Unidos, descubri\u00f3 una serie de vulnerabilidades en varias aplicaciones populares de Android, tales como Instagram, Vine y OKCupid y otras. Seg\u00fan los expertos, los bugs podr\u00edan exponer la informaci\u00f3n de los m\u00e1s de 968 millones de usuarios que tienen instaladas estas apps en sus <a href=\"https:\/\/latam.kaspersky.com\/blog\/como-sellar-las-puertas-traseras-de-android\/\" target=\"_blank\" rel=\"noopener\">dispositivos m\u00f3viles<\/a>.<\/p>\n<p>\u201cSi bien toda la informaci\u00f3n que se trasmite de una persona a otra deber\u00eda trasladarse de forma segura, nosotros descubrimos que las comunicaciones privadas entre los usuarios podr\u00edan ser espiadas por terceros, debido a que la informaci\u00f3n almacenada no cuenta con la encriptaci\u00f3n adecuada\u201d<\/p>\n<p>Chris Brook, de Threatpost, <a href=\"https:\/\/threatpost.com\/privacy-vulnerabilities-in-popular-android-apps-disclosed\/108163\" target=\"_blank\" rel=\"noopener nofollow\">report\u00f3<\/a> que la mayor\u00eda de las vulnerabilidades ocurre porque estas aplicaciones almacena el contenido de manera <a href=\"https:\/\/www.kaspersky.es\/blog\/quien-utiliza-sistemas-de-encriptacion\/\" target=\"_blank\" rel=\"noopener\">no cifrada<\/a> en sus servidores.<\/p>\n<p>\u201cCualquier persona que use o haya usado estas apps, est\u00e1 en riesgo de que su informaci\u00f3n sea interceptada por un tercero\u201d explica Abe Baggili, profesor de ciencias de la computaci\u00f3n en el colegio de Ingenier\u00eda de la UNH.<\/p>\n<p>Seg\u00fan Threatpost, la funci\u00f3n\u00a0de mensajer\u00eda directa de Instagram permite\u00a0que se filtren fotos que los usuarios comparten entre s\u00ed. Asimismo, la app almacena en sus servidores\u00a0fotos en texto plano. En esta misma l\u00ednea, los investigadores tambi\u00e9n fueron capaces de visualizar informaci\u00f3n personal que los usuarios compart\u00edan en el famoso servicio de citas online OKCupid. Mientras que, la aplicaci\u00f3n de video chat ooVoo tambi\u00e9n posee las mismas vulnerabilidades de <a href=\"https:\/\/latam.kaspersky.com\/blog\/la-aplicacion-de-instagram-de-android-no-cuenta-con-una-encriptacion-completa\/\" target=\"_blank\" rel=\"noopener\">Instagram.<\/a><\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/FXQovCf-PfA?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Por otra parte, otras tres apps de llamadas y mensajes gratuitos: Tango, Nimbuzz y Kik tienen bugs que permiten interceptar\u00a0im\u00e1genes, videos y datos de localizaci\u00f3n. En Nimbuzz, adem\u00e1s, se descubri\u00f3 que las contrase\u00f1as eran almacenadas en texto plano.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/-SIuY9W6oBc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Pero la lista no termina all\u00ed, MeetMe, MessageMe y TextMe tambi\u00e9n env\u00edan informaci\u00f3n en texto plano no encriptado, lo cual podr\u00eda brindarles a los atacantes la capacidad de monitorear las comunicaciones entre los usuarios que utilizan estas aplicaciones en una red local. Los investigadores tambi\u00e9n encontraron un archivo de base de datos de TextMe que almacenaba las credenciales de acceso en texto plano.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/-8diGT0Dx-8?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Grindr, HeyWire, Hike y TextPlus tambi\u00e9n poseen bugs similares. Mensajes, im\u00e1genes y localizaci\u00f3n pueden ser f\u00e1cilmente expuestas por cibercriminales que utilizan la conocida herramienta WireShark.<\/p>\n<p>\u201cMediante la herramienta HeliumBackup de Android, fuimos capaces de acceder a los archivos de respaldo de TextPlus\u201d, se\u00f1al\u00f3 uno de los investigadores. \u201cCuando lo abrimos, notamos que hab\u00eda capturas de pantalla de actividades de usuarios que nosotros no hab\u00edamos tomado. No conocemos cu\u00e1l es el motivo por el que se tomaron estas capturas de pantalla o por qu\u00e9 estaban almacenadas en el dispositivo\u201d.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/uIqMgqdn31s?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Finalmente, las aplicaciones de SayHi, MyChat, WeChat, GroupMe, LINE, Whisper, Voxer y Words With Friends guardan los\u00a0logs\u00a0de sus chats en texto plano.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/Lgc9vwgQgBc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>\u201cSi bien toda la informaci\u00f3n que se trasmite de una persona a otra a trav\u00e9s de estas apps deber\u00eda trasladarse de forma segura, nosotros descubrimos que las comunicaciones privadas entre los usuarios podr\u00edan ser espiadas por terceros debido a que la informaci\u00f3n almacenada no cuenta con la encriptaci\u00f3n adecuada y los usuarios no tienen la menor idea de que esto es as\u00ed\u201d, explic\u00f3 Baggli.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Decenas de apps de mensajer\u00eda carece del cifrado adecuado<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F2NzL&amp;text=Decenas+de+apps+de+mensajer%C3%ADa+carece+del+cifrado+adecuado\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Los investigadores intentaron contactar a cada uno de los desarrolladores de las aplicaciones pero, seg\u00fan contaron, en la mayor\u00eda de los casos se encontraron frente a formularios de soporte t\u00e9cnico y ning\u00fan medio de comunicaci\u00f3n directa. Hasta el momento, ninguno de los investigadores fue notificado si estos bugs fueron reparados.<\/p>\n<p>Desde Kaspersky Lab intentamos contactar a Instagram, pero la compa\u00f1\u00eda tampoco ha respondido a nuestro llamado.<\/p>\n<p>No obstante, <a href=\"http:\/\/www.cnet.com\/news\/researchers-find-data-leaks-in-instagram-grindr-oovoo-and-more\/\" target=\"_blank\" rel=\"noopener nofollow\">CNET<\/a> pudo contactar a Instagram, Kik y Grindr y, seg\u00fan afirmaron, las empresas le comunicaron lo siguiente: los desarrolladores de Instagram aseguraron que, actualmente, est\u00e1n\u00a0avanzando hacia una encriptaci\u00f3n completa de su aplicaci\u00f3n de Android. Kik, por su parte, dijo que est\u00e1 trabajando para encriptar los archivos que se comparten entre los usuarios, pero que no cifrar\u00e1 los logs\u00a0de los chats, dado que, seg\u00fan afirman, \u00e9stos est\u00e1n aislados y no son accesibles desde las apps. En tanto, Grindr dijo que tan solo monitorea los reportes de seguridad y que \u00fanicamente realiza los cambios que creen necesarios.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: right\">Traducido por: Guillermo Vidal Quinteiro<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un grupo de investigadores ciberforenses de la Universidad de New Haven, Estados Unidos, descubri\u00f3 una serie de vulnerabilidades en varias aplicaciones populares de Android, tales como Instagram, Vine y OKCupid<\/p>\n","protected":false},"author":42,"featured_media":3939,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[2163,1300,99,298,208,1146],"class_list":{"0":"post-3938","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-android","9":"tag-bugs","10":"tag-cibercriminales","11":"tag-informacion","12":"tag-robo-de-datos","13":"tag-vulnerables"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/decenas-de-aplicaciones-populares-de-android-son-vulnerables-al-robo-de-datos\/3938\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/3938","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=3938"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/3938\/revisions"}],"predecessor-version":[{"id":17581,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/3938\/revisions\/17581"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/3939"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=3938"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=3938"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=3938"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}