2014-04-04



Nosotros, como usuarios, podemos cuidar la seguridad de nuestra información y de nuestros teléfonos. Podemos no instalar aplicaciones sospechosas (que pueden causarnos un disgusto). Podemos no dar más permisos de la cuenta a las apps que utilizamos. Podemos utilizar códigos u otros sistemas para protegernos de accesos no autorizados de terceros… Sin embargo, esto no significa que estemos totalmente a salvo: las propias aplicaciones o los fabricantes pueden cometer errores que dejen al descubierto nuestra privacidad e información.

¿Puede ocurrir esto? Sí. Es más, ya ha ocurrido en el pasado. A continuación repasamos varios casos en los que la información del usuario ha quedado “al aire” por fallo de terceros. ¿Recordáis los problemas de HTC? ¿O quizás el desastre de Path con los SMS masivos? De todos estas situaciones y alguna más os hablaremos a continuación:

HTC y la recolección de información masiva

En octubre de 2011, Android Police daba la alarma: HTC no sólo estaba introduciendo software en sus teléfonos que recopilaba mucha información sobre el usuario, sino que todos estos datos recopilados estaban a disposición de la mayoría de aplicaciones que requerían permisos para conectarse a Internet. Entre la información de la que hablamos se encontraban direcciones de correos almacenadas, historial de posiciones GPS, números de teléfonos, SMS, logs del sistema, entre muchos otros.

El usuario que descubrió este fallo intentó avisar a HTC, sin recibir respuesta alguna. Sólo después de que Internet se llenara de noticias relativas a esta historia, el fabricante emitió un comunicado reconociendo el problema… a su manera: “En nuestra investigación de esta reciente reclamación, hemos concluido que, aunque el software de HTC no daña los datos de los usuarios, existe una vulnerabilidad que podría ser potencialmente explotada por una aplicación maliciosa desarrollada por terceros”.

Como consecuencia, y casi año y medio después, la Federal Trade Commission (FTC) de Estados Unidos “condenó” a HTC a realizar anualmente revisiones de seguridad de sus terminales durante los siguientes 20 años. ¿El motivo? Considerar que HTC no había aplicado las políticas de seguridad necesarias en el software de sus teléfonos.

Apple y la polémica de la localización

Un caso similar, aunque en abril de 2011, lo protagonizó Apple después de que se descubriera que tanto el iPhone como el iPad almacenaban las localizaciones del usuario en un archivo de nombre consolidated.db. ¿El problema? Que dicho fichero no estaba cifrado, por lo que aunque es algo que en teoría no salía del teléfono, sí que era consultable. A partir de estos datos, dos investigadores demostraron que era posible realizar un mapa de posiciones del último año del propietario de uno de estos dispositivos, lo que generó una polémica a nivel internacional.

Hasta tal punto llegó la repercusión que Steve Jobs contestó a las acusaciones y en Apple crearon un apartado en su web dedicado a explicar qué datos recopilaban y para qué se utilizaban. Como medida, desde Apple lanzaron una actualización con la que aseguraron haber limitado los datos almacenados y prometieron, para la siguiente versión de iOS, cifrar el archivo en cuestión.

Path y la agenda, los SMS, la geolocalización…


Si tuviéramos que escoger a una de las aplicaciones que más polémicas con el tratamiento de los datos del usuario ha generado, ésa sería Path sin dudarlo. En la superficie parece una red social en formato app para móviles, pero desde su lanzamiento en 2010 ha protagonizado varios problemas de seguridad:

Almacenando sin permiso los contactos (febrero 2012): al entrar en Path, la aplicación subía una copia de todos tus contactos (nombre, teléfono y otros datos que pudieras tener asociados a ellos, como emails o direcciones) a sus servidores. Como consecuencia, recibieron una multa de 800.000 dólares por almacenar información de menores sin autorización.

Geolocalización en las imágenes (febrero 2013): imagínate que tomas una fotografía y la compartes, pero tienes la geolocalización de Path desactivada. ¿Qué pensarías si Path incluyese esa información en todas las imágenes que subes a su red social. Al parecer, la app ignoraba los permisos a la hora de publicar fotografías y no eliminaba la información del EXIF del archivo de imagen cuando el usuario lo subía.

Enviar SMS sin permiso (mayo 2013): Por un fallo, varios usuarios que habían instalado Path en sus teléfonos vieron cómo la aplicación enviaba automáticamente decenas de SMS a toda su libreta de direcciones, invitando a sus contactos a ver unas supuestas fotografías que el usuario en cuestión nunca había compartido.

WhatsApp y su larga historia de problemas

Junto a Path, existe otra aplicación que también ha tenido una larga historia de problemas de seguridad… y que los sigue teniendo. Sí, estamos hablando de WhatsApp. El problema más sonado llegó en mayo de 2011, cuando nos enteramos de que las conversaciones de WhatsApp no estaban cifradas. ¿La consecuencia? Que cualquiera que estuviera escuchando en una red desprotegida, podría leer los mensajes intercambiados. Aquí tenéis más detalles.

Pero todavía hay (o ha habido) muchos más problemas de seguridad. Nuestros amigos de Security By Default han demostrado en multitud de ocasiones que no se trata de una aplicación segura, aunque los responsables de la misma suelen ir parcheando por encima los fallos más importantes. Os rcomiendo leer algunos artículos que no tienen desperdicio:

Lo que no te cuenta WhatsApp (junio 2011): Los datos que almacenaba WhatsApp sobre el usuario sin cifrar.

Espía WhatsApp (noviembre 2012): Suplantación de identidad y espionaje de mensajes.

Casi 10 millones de móviles españoles con WhatsApp instalado (marzo 2012): Un script automático que consulta, número a número, si éste tiene una cuenta WhatsApp y recupera la foto y el estado de todos ellos.

Spam, inundación y robo de cuentas (febrero 2013): Script automático que permite hacer spam sin parar.

Curiosa y peligrosa nueva funcionalidad de WhatsApp (noviembre 2013): Problemas con los iconos que aparecen en los enlaces de la app para Android a modo de previsualizción, ya que podía ejecutarse un código malicioso que consiguiese información del usuario o efectuase un ataque de denegación de servicio.

iOS y los certificados TLS


Terminamos con uno de los más recientes: en febrero de este año, Apple lanzaba una actualización urgente para su iOS. ¿El motivo? Un fallo de seguridad muy grave en el sistema SSL/TLS, lo que permitía que cualquiera que estuviera escuchando en una red, y a través de un ataque man-in-the-middle, pudiera ver la información intercambiada por una conexión en teoría segura. Los detalles técnicos los explican muy bien nuestros compañeros de Genbeta.

Imagen | Faris Algosaibi (CC)
En Xataka Móvil | Especial Seguridad en el móvil

-
La noticia Las grandes "pifias" de la seguridad en smartphones fue publicada originalmente en Xataka Móvil por María González.

Show more