El equipo de Seguridad en TIC de la Fundación Sadosky, desde el proyecto Marvin, identificó y reportó vulnerabilidades en la aplicación para dispositivos móviles desarrollada por la empresa EDENOR, la cual tiene -a la fecha- entre 50.000 y 100.000 instalaciones según estadísticas del mercado de apps Google Play.
La aplicación desarrollada por esta empresa de distribución eléctrica argentina permite a sus usuarios conocer los datos de su última factura, visualizarla, imprimirla, ver reclamos por falta de suministro, geolocalizar oficinas comerciales y entidades de pago habilitadas, recibir notificaciones y avisos sobre cuentas predeterminadas y enviar a la empresa fotos del medidor del servicio eléctrico.
Las vulnerabilidades reportadas permiten a potenciales atacantes realizar distintas acciones:
-Acceder localmente a todos los datos de la aplicación desde cualquier otra aplicación sin necesidad de permiso alguno.
-Ejecutar código con los permisos de la aplicación Edenor 2.0 en el dispositivo móvil.
-Obtener de los servidores de la aplicación todos los datos de todos los usuarios registrados de Edenor 2.0.
-Realizar cualquiera de las operaciones disponibles en la aplicación Edenor 2.0 en nombre de cualquier otro usuario registrado.
Todo esto puede realizarse utilizando una aplicación maliciosa desde el dispositivo que tenga instalada esta aplicación o bien modificando la aplicación de EDENOR 2.0.
El 24 de enero de 2016 Edenor publicó en Google Play la versión 2.1 de la aplicación, corrigiendo algunas de las vulnerabilidades reportadas y el 22 de marzo la versión 2.2 de la aplicación. La empresa indicó que la última versión corrige la totalidad de los problemas reportados.
El reporte completo puede descargarse desde acá.
Las vulnerabilidades, identificadas por Joaquín Rinaudo, fueron reportadas a la empresa siguiendo el procedimiento de reporte que puede descargarse desde acá.