UNHcFREG, Más vulnerabilidades en apps de Android

0

Informamos de nuevas vulnerabilidades en apps de Android. Investigadores de la UNHcFREG -Universidad de New Heaven- han publicado en Youtube una serie de vídeos en los que hablan de vulnerabilidades encontradas en una docena de apps de Android.

Expertos del Grupo de Investigación Forense de la Universidad de New Heaven han decidido compartir en la red una serie de vídeos demostrativos sobre fallos de seguridad encontrados en una docena de apps de la plataforma Android, entre las que se encuentran: Instagram, Vine y OKCupid. Pocos días antes, el CERT de la Universidad Carnegie Mellon publicó los resultados de una batería de pruebas realizadas sobre ciertas apps de Android que arrojan fallos al validar Certificados SSL, un asunto que requiere de una respuesta seria y rápida, ya que comprometería el tráfico que tenga lugar en dichas apps.

Cuidado con la mensajería instantánea

En Abril de este año, otro equipo de seguridad de esta misma Universidad descubrió una vulnerabilidad en WhatsApp, sobre la utilidad de “Compartir ubicación”, que expone a los usuarios a ataques. También se constató que Viber era vulnerable, con una seguridad pobremente implementada y que dejaría a muchos usuarios ante el peligro de perder su privacidad.

Problemas al tratar contenido encriptado mediante SSL en apps de Android

Volviendo al tema que nos ocupa, los investiadores han publicado numerosos fallos de seguridad, cuya mayor parte se afectan al almacenamiento de contenido no encriptado en los servidores que soportan las apps afectadas. El equipo ha elegido su canal de Youtube como medio para compartir varios vídeos explicativos de lo que sucede.

Método de pruebas

El equipo ha creado una red de pruebas utilizando un adaptador de “minipuerto” virtual para Windows 7. De esta forma han analizado todo el tráfico enviado y recibido en los dispositivos móviles Android, ayudándose además de software de análisis específico: NetworkMiner y Wireshark.

Equipo de pruebas y configuración

Primer día

Al comienzo de la serie se habla sobre 3 fallos de seguridad descubiertos en Instagram, en la herramienta de citasOKCupid y la app de mensajería ooVoo

  • Instagram: vulnerando la funcionalidad de mensajería de Instagram Direct, los hackers serían capaces de extraer imágenes enviadas entre usuarios. Además, se ha descubierto que los servidores de Instagram aún seguían manteniendo almacenadas imágenes enviadas semanas atrás, lo que es peor, sin encriptar.
  • OKCupid: se podrían recuperar términos de búsqueda del usuario mediante HTTP, con lo que un atacante podría reproducir la misma búsqueda y acabar visualizando las comunicaciones entre usuarios.
  • ooVoo: De forma similar a la anterior, los expertos fueron capaces de interceptar palabras clave y fotografías enviadas entre unos usuarios y otros. Como en el caso de Instagram, los archivos de medios permanecen mucho más tiempo del que deberían en los servidores de la app de mensajería.

Conclusiones del primer día de experimentos

Segundo día

Se continúa tratando temas relacionados con plataformas de mensajería. Es el caso de Tango, Nimbuzz o Kik. La situación es bastante similar. Las apps citadas ofrecieron la posibilidad de capturar imágenes enviadas (Tango), sketches -vídeos- enviados a través de Kik y en el caso de Nimbuzz aún peor: 

  • Imágenes y vídeos enviados
  • Ubicación
  • Contraseñas almacenadas en texto plano

Conclusiones del segundo día de experimentos

Tercer día

El tercer día el equipo estuvo investigando los fallos de seguridad de 3 apps de chat y comunicaciones como:

  • MeetMe
  • MessageMe
  • TextMe

Podéis consultar el resto de entradas en su canal.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR