Actualmente hay una aplicación móvil relacionada con cualquier necesidad o pasatiempo, incluso para arreglar encuentros casuales con completos desconocidos. No obstante, al igual que cualquier servicio en línea, este tipo de aplicaciones están expuestas al interés de actores de amenazas, lo que podría comprometer la información y algunos usuarios e incluso algunos aspectos de su vida personal, afirman expertos en seguridad de aplicaciones web.
Uno de los casos más recientes es el de 3Fun, descrita por sus desarrolladores como “una app de citas ideal para parejas curiosas y solteros”. Se trata de un servicio para mayores de 18 años que actualmente cuenta con más de 1.5 millones de usuarios en todo el mundo, acorde a los datos de los creadores.
Aunque los desarrolladores de 3Fun sostienen que la app cuenta con las mejores protecciones de privacidad, como el uso de álbumes de fotos privados, los especialistas en seguridad de aplicaciones web de la firma Pen Test Partners afirman lo contrario. Un estudio realizado por esta firma menciona que 3Fun es, probablemente, la peor aplicación de citas en términos de seguridad informática.
Este fiasco de privacidad, además de exponer la ubicación en tiempo real de los usuarios (sin importar dónde estuvieran), llegó a filtrar datos confidenciales como fechas de nacimiento, preferencias sexuales, historial de conversaciones en la app y fotos privadas.
Acorde a los especialistas en seguridad de aplicaciones web, la filtración de datos de ubicación de los usuarios de esta clase de apps se debe a una técnica conocida como ‘trilateración’. Este ataque consiste en falsificar las coordenadas GPS y abusar de algunas características de estas apps para determinar la ubicación de los usuarios. No obstante, esta investigación destaca que, en el caso de 3Fun, los hackers no requieren realizar labores tan sofisticadas, pues la app es por sí misma insegura y filtra detalles sensibles de los usuarios.
En otras palabras, no se requiere de un software para calcular una ubicación a partir de la distancia entre objetivos. “La latitud y longitud de los usuarios se encuentra disponible para cualquiera que sepa dónde buscar estos datos”, agregan los expertos.
Aunque los usuarios pueden restringir la exposición de sus datos de ubicación en el menú de configuraciones de la app, estos datos son enviados a los servidores de 3Fun mediante una solicitud GET, por lo que se encuentran totalmente expuestos para cualquier interesado. “La filtración ocurre del lado del cliente, por lo que estos datos pueden ser consultados en la API para determinar la posición del objetivo”. Los especialistas incluyeron una demostración de cómo acceder a la ubicación exacta de un usuario usando este método.
Si bien esta técnica puede resultar divertida para algunas actividades de ocio, expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) afirman que, en combinación con datos filtrados del usuario, como nombre o fecha de nacimiento, es posible realizar algunas actividades maliciosas, como acoso o extorsión, sin mencionar que las fotos privadas de los usuarios también están disponibles a través de la API.
Aunque esta investigación ya ha concluido, los expertos afirman que es altamente probable encontrar más vulnerabilidades de seguridad en esta app.
Aunque los desarrolladores fueron notificados sobre estas fallas hace más de un mes, su respuesta fue poco satisfactoria, pues sólo respondieron con un mensaje: “Gracias por su amable notificación. El problema será solucionado a la brevedad. Si tiene otra sugerencia, la escucharemos. Saludos.”
A pesar de las múltiples fallas en la app, después de recibir algunos consejos de los expertos, los desarrolladores corrigieron estos errores poco tiempo después.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad