El equipo de Seguridad en TIC de la Fundación Sadosky, a través del Proyecto Marvin, identificó distintas vulnerabilidades en la aplicación para Android de OLX, una empresa que opera en el mercado de clasificados online y a la cual puede accederse tanto a través de internet como de aplicaciones móviles.
En una versión anterior a la actual un usuario malintencionado podía loguearse a OLX desde un perfil de Facebook pero asociándolo a una cuenta de correo que no le pertenecía. OLX no verificaba que cuenta y perfil fueran del mismo propietario y enviaba al atacante la contraseña del usuario del correo electrónico consignado.
En la versión actualizada, era posible ingresar al perfil de cualquier usuario que hubiera ingresado previamente utilizando Facebook, ya que OLX no autenticaba correctamente la identidad. A su vez, las fallas en el proceso de autorización permitían que no hiciera falta contar con la contraseña del usuario para ingresar a su cuenta en OLX. Ambas vulnerabilidades, que ya fueron resueltas por los desarrolladores, afectaban a todos los usuarios, tuvieran o no descargada la aplicación en sus dispositivos.
La versión disponible en la actualidad continúa teniendo vulnerabilidades que han sido reportadas a la empresa aunque aún no las ha resuelto.
La aplicación aún se comunica con el servidor de forma insegura, por lo que potenciales atacantes en la misma red que el usuario pueden capturar información sensible o acceso total a su cuenta.
Por todo lo expuesto, el equipo de Seguridad en TIC recomienda, a los usuarios preocupados por la privacidad de sus datos, desinstalar la aplicación de sus dispositivos hasta tanto OLX resuelva los problemas reportados.
El proyecto Marvin trabaja en determinar las características de seguridad y protección de datos de las aplicaciones para teléfonos móviles de uso más frecuente o masivo. Una vez identificada una vulnerabilidad se sigue el protocolo indicado en el Procedimiento de Reporte y Divulgación de Vulnerabilidades.
El informe técnico y detallado del reporte de estas vulnerabilidades puede descargarse acá.
En la sección de Publicaciones de esta página se podrá acceder a todas las vulnerabilidades reportadas con anterioridad.
