El equipo de Seguridad en TIC de la Fundación Sadosky, a través del proyecto Marvin, encontró y reportó nuevas vulnerabilidades de aplicaciones para Android. En esta oportunidad se trata de las aplicaciones de Mercado Libre, PicsArt y Prey Anti Robos.
La aplicación de Mercado Libre –una empresa de comercio en línea focalizada en el comercio electrónico y servicios relacionados para América Latina- tiene entre 10 y 15 millones de instalaciones. La vulnerabilidad identificó la posibilidad de realizar ataques de intermediación al tráfico entre la aplicación y le servidor, permitiendo a un atacante capturar información sensible del usuario. El problema fue resuelto por la empresa, por lo que se recomienda a los usuarios actualizar su versión.
En el caso de Prey – una aplicación antirrobo gratuita que permite a usuarios de teléfonos inteligentes rastrear y localizar sus dispositivos móviles en caso de que hayan sido perdidos o robados- se cuentan entre 1 y 5 millones las instalaciones a nivel mundial. La vulnerabilidad identificada permitía diferentes tipos de ataque –incluyendo subvertir el propósito mismo de la aplicación- dado que toda la comunicación entre el dispositivo y el servidor podía ser inspeccionada y modificada por un atacante. El problema fue resuelto por la empresa, por lo que se recomienda a los usuarios actualizar su versión
Finalmente, PicsArt –una aplicación gratuita disponible para Android, iOS y Windows Phone que permite a un usuario editar sus fotos, añadirles efectos y compartirlas con otros usuarios- posee entre 100 y 500 millones de descargas. La vulnerabilidad identificada tuvo que ver con la posibilidad de un atacante de tomar el control de cuentas de usuarios con solo capturar el tráfico de red. Si bien este primer inconveniente fue resuelto por el fabricante, aún resultan posibles los ataques de intermediación, con lo que tanto la aplicación corriendo en el dispositivo móvil como los servidores de PicsArt pueden asumir la identidad del usuario en las redes sociales que éste utilice. Este problema no fue resuelto por el fabricante, por lo que se recomienda a los usuarios preocupados por la protección de su privacidad y la seguridad de sus datos personales, deshabilitar el acceso de la aplicación a su perfil de Facebook, Twitter o Google+ y dejar de usar la aplicación.
Se invita a los interesados en profundizar la información al respecto a ingresar aquí, donde podrán descargar los reportes de Seguridad para los tres casos mencionados.