La Fundación Sadosky descubrió vulnerabilidades en apps para Android
1 de Diciembre de 2014Los expertos del Programa de Seguridad en TIC reportaron problemas de seguridad en PicsArt, MercadoLibre y Prey Anti Robos
Según anunció el Ministerio de Ciencia, Tecnología e Innovación Productiva, investigadores de la Fundación Sadosky descubrieron vulnerabilidades en aplicaciones para Android.
Los expertos en seguridad informática, que forman parte del proyecto Marvin del Programa de Seguridad en TIC de la Fundación, hallaron problemas de seguridad en las aplicaciones PicsArt, MercadoLibre y Prey Anti Robos para el sistema operativo móvil de Google.
PicsArt es una aplicación que permite tomar, editar, publicar y compartir fotos directamente desde la aplicación móvil en una web y redes sociales como Facebook, Twitter y Google+. La aplicación no utilizaba HTTPS para enviar datos sensibles a sus servidores, provocando una alta vulnerabilidad. Luego de que la Fundación reportara la falla a los desarrolladores, la app comenzó a utilizar HTTPS, pero sin validar los certificados SSL, lo que permite que un atacante todavía pueda tomar el control de la cuenta de un usuario.
Una falla de seguridad similar se registró en la aplicación móvil de MercadoLibre para Android anteriores a la 3.10.6. La app permitía realizar ataques de intermediación (Man-in-the-Middle) al tráfico entre la aplicación y el servidor utilizando falsos certificados SSL. La falla permitía robar información sensible del usuario como los datos de su tarjeta de crédito.
Este tipo de ataques de intermediación de tráfico también fue registrada por los expertos de Sadosky en Prey Anti Robos, la app gratuita que permite rastrear y localizar dispositivos móviles en caso de que hayan sido perdidos o robados. La vulnerabilidad permitía evitar que funcione el mecanismo anti-robo.
Según explica el Ministerio, tras el reporte de los problemas a los desarrolladores de las tres aplicaciones, MercadoLibre y Prey Anti robos lanzaron actualizaciones para solucionar las fallas localizadas. PicsArt todavía sigue siendo permeable.
"El proyecto 'Marvin' del Programa de Seguridad en TIC de la Fundación se enfoca en determinar características de seguridad y protección de datos de las aplicaciones para teléfonos móviles de uso más frecuente o masivo. Al encontrar vulnerabilidades en las aplicaciones investigadas, se realiza un proceso de identificación, documentación y reporte de problemas de seguridad a los fabricantes del software o responsables de su seguridad, procedimiento que es conocido como 'Vulnerability Disclosure'", explicó el Ministerio.
A partir de este procedimiento, el equipo de especialistas de la Fundación Sadosky difunde los resultados para informar a los usuarios potencialmente afectados. Además, el equipo identifica al fabricante de software para notificar el problema.
Más información: www.fundacionsadosky.org.ar.
