El equipo de Seguridad en TIC de la Fundación Sadosky, desde el proyecto Marvin, identificó y reportó vulnerabilidades en las aplicaciones BACómoLlego y BAWiFi.
El principal problema de estas aplicaciones era que la comunicación con sus servidores se realizaba de manera insegura, permitiendo que posibles atacantes inyectaran código malicioso consiguiendo así acceso a la información privada del usuario alojada en el dispositivo. En dispositivos con versiones actualizadas de Android el daño factible era menor que en versiones anteriores. En éstas era posible comprometer el dispositivo por completo.
En el caso de BAWifi, sin importar la versión de Android que corriera en el dispositivo, al solicitar más permisos que los necesarios al momento de la instalación, un atacante podría, entre otras cosas, grabar audio y video, recibir SMS, leer y escribir en la memoria externa.
El equipo del proyecto Marvin reporta estas vulnerabilidades desde febrero de 2014 al Gobierno de la Ciudad de Buenos Aires, que resolvió las fallas en noviembre de 2015, por lo que se recomienda a los usuarios actualizar ambas aplicaciones en sus dispositivos para protegerse de estos posibles ataques.
El proyecto Marvin trabaja en determinar las características de seguridad y protección de datos de las aplicaciones para teléfonos móviles de uso más frecuente o masivo. Al identificar vulnerabilidades en las aplicaciones estudiadas, las reporta a los desarrolladores o responsables de seguridad informática siguiendo el procedimiento publicado. Luego, distribuye un reporte técnico y se encarga de la difusión para que el usuario pueda tomar las medidas necesarias a fin de preservar su información personal.
En nuestra sección de publicaciones los interesados podrán encontrar los reportes técnicos de las vulnerabilidades identificadas en las aplicaciones estudiadas.