http://www.fundacionsadosky.org.ar/wp-content/uploads/2014/06/marvin-3.jpg

Expertos en seguridad informática de la Fundación Sadosky comprobaron problemas de seguridad en las aplicaciones PicsArt, MercadoLibre y Prey Anti Robos en sus versiones para el sistema operativo Android.

Investigadores del Programa de Seguridad en TIC de la Fundación Sadosky, descubrieron vulnerabilidades en aplicaciones de PicsArt, MercadoLibre y Prey Anti Robos para el sistema operativo Android. Hasta la publicación de los boletines de seguridad por parte de la Fundación y habiendo cumplido con el proceso de reporte de problemas con los desarrolladores de las aplicaciones, MercadoLibre y Prey Anti robos lanzaron actualizaciones con los inconvenientes solucionados, mientras que PicsArt todavía es permeable a vulnerabilidades.

 

PicsArt permite a sus usuarios tomar, editar, publicar y compartir fotos directamente desde la aplicación móvil en el sitio web propio y en redes sociales como Facebook, Twitter y Google+. Según el fabricante, la aplicación fue instalada más de 175 millones de veces, crece mensualmente en 7 millones de descargas y tiene 45 millones de usuarios registrados activos por mes. Originalmente, la aplicación de PicsArt para Android no utilizaba HTTPS para enviar datos sensibles a sus servidores, permitiendo que un atacante tomara el control de cuentas de usuarios con solo capturar el tráfico de red. Después que la Fundación reportara el problema a los desarrolladores, la aplicación empezó a utilizar HTTPS pero sin validar los certificados SSL presentados por el servidor al establecerse la comunicación, lo que permite realizar ataques de intermediación (Man-In-The-Middle). La consecuencia es que un atacante todavía puede obterner el control de la cuenta de un usuario cualquiera de PicsArt.

Otro inconveniente registrado fue el siguiente: durante el procedimiento de inicio de sesión, el servidor de PicsArt no verifica que los tokens de acceso de Google+, Facebook y Twitter sean válidos. Como consecuencia, un atacante puede enviar un pedido de inicio de sesión dando el identificador de cualquier usuario de una red social y obtener las credenciales de PicsArt asociadas a ese usuario de Google+, Facebook o Twitter. Esto permite al atacante obtener acceso a cualquier cuenta de un usuario de PicsArt creada a partir de una cuenta de red social de terceros. Además, el atacante puede también obtener los tokens de acceso para cuentas en redes sociales de terceros (Facebook, Twitter, Google+) de cualquier usuario de PicsArt. Este problema afecta a todos los usuarios de PicsArt que accedan a su cuenta mediante Google+, Facebook o Twitter.

Una solución para evitar que los atacantes comprometan sus cuentas de Facebook, Twitter o Google+ es deshabilitar el acceso de la aplicación PicsArt a su perfil. Se recomienda a los usuarios preocupados por la protección de su privacidad y la seguridad de sus datos personales dejar de usar la aplicación hasta tanto el fabricante publique una versión que realice correctamente la validación de los certificados SSL y solucione el problema de verificación de credenciales de acceso en el servidor.

Descargue el boletín en español aquí
Descargue el boletín en ingles aquí

 

MercadoLibre es una empresa dedicada al comercio electrónico y servicios relacionados que opera en 13 paises. Registra entre 10 y 50 millones de instalaciones según datos de Google Play. Las versiones vulnerables de la aplicación para Android no verifican que el certificado SSL presentado por el servidor sea válido. Como resultado es posible realizar ataques de intermediación (Man-in-the-Middle) al tráfico entre la aplicación y el servidor utilizando certificados SSL fraguados y capturar información sensible del usuario, como su nombre y clave de cuenta en MercadoLibre o los datos de las tarjetas de crédito que utiliza.

El problema fue solucionado por el fabricante en la última versión disponible de la aplicación. En caso que los usuarios tengan instaladas versiones anteriores a la 3.10.6 deberán actualizarla por la última disponible. Para verificar la versión de la aplicación instalada en los dispositivos con Android, ingresar a “Ajustes/Aplicaciones” y luego hacer click en MercadoLibre.

 Descargue el boletín en español aquí
Descargue el boletín en ingles aquí

Por su parte, Prey Anti Robos es una aplicación gratuita que permite a usuarios de teléfonos inteligentes rastrear y localizar sus dispositivos móviles en caso que hayan sido perdidos o robados. Provee una forma de obtener remotamente la ubicación geográfica precisa de un dispositivo, bloquearlo, sacar fotos, reproducir sonidos de alarma y mostrar mensajes en la pantalla. Según estadísticas del mercado de aplicaciones Play de Google tiene entre 1 y 5 millones de instalaciones mundialmente.

La comunicación entre la aplicación Prey Anti Robos en ejecución en el dispositivo y el servidor web es realizada vía HTTPS, un mecanismo de transporte que busca garantizar confidencialidad e integridad de los datos mediante cifrado. Sin embargo, los certificados SSL no son validados al iniciar una conexión. Como resultado, un ataque de intermediación de tráfico (Man-in-the-Middle) brinda la posibilidad al atacante de presentar certificados SSL falsos y enviar un pedido de comando de bloqueo con una contraseña especificada. De este modo se puede subvertir el propósito de la aplicación y evitar que funcione como mecanismo anti-robo con bloqueo y rastreo de dispositivos. Luego el atacante podría desbloquear el dispositivo manualmente con la contraseña que especificó. También otros ataques son posibles dado que toda la comunicación entre el dispositivo y el servidor puede ser inspeccionada y modificada.

El problema fue solucionado por los desarrolladores en la última versión disponible de la aplicación. Para protegerse, los usuarios que tengan instalada versiones iguales o anteriores a las 1.1.3 deberían desinstalar la aplicación o actualizarla por la última versión disponible.

Descargue el boletín en español aquí
Descargue el boletín en ingles aquí

El proyecto “Marvin” del Programa de Seguridad en TIC de la Fundación se enfoca en determinar características de seguridad y protección de datos de las aplicaciones para teléfonos móviles de uso más frecuente o masivo. Al encontrar vulnerabilidades en las aplicaciones investigadas, se realiza un proceso de identificación, documentación y reporte de problemas de seguridad a los fabricantes del software o responsables de su seguridad, procedimiento que es conocido como “Vulnerability Disclosure”. A partir de este procedimiento, se publican y difunden los resultados a fin de informar a la población potencialmente afectada, dándole a su vez recomendaciones para su protección o mitigación del riesgo.

Al reconocer una vulnerabilidad, el equipo de la Fundación procede a intentar identificar al responsable o fabricante del software, notificándolo del problema, informándole la intensión de ayudar a su resolución y aclarándole que se publicará y difundirá el inconveniente y su potencial solución para protección de los usuarios. Asimismo la Fundación buscará acordar y coordinar con el responsable o fabricante la forma y tiempo necesarios para la resolución de la falla y, una vez resuelto el problema de seguridad o cumplido el plazo acordado con el fabricante para tal fin, publicar un reporte técnico.

Para acceder a los reportes ingrese en: http://bit.ly/1tNofg2

 

WebmasterMóviles & AppsSeguridadAndroid,MercadoLibre,PicsArt,Prey Anti Robos,Programa de Seguridad en TIC,proyecto "Marvin",seguridadExpertos en seguridad informática de la Fundación Sadosky comprobaron problemas de seguridad en las aplicaciones PicsArt, MercadoLibre y Prey Anti Robos en sus versiones para el sistema operativo Android. Investigadores del Programa de Seguridad en TIC de la Fundación Sadosky, descubrieron vulnerabilidades en aplicaciones de PicsArt, MercadoLibre y Prey Anti...comunidad virtual para compartir y difundir: información, conocimiento y experiencias relacionadas con las Tecnologías de la Información y la Comunicación.