Una aplicación de Android expuso 1,7 millones de contraseñas y fotos de desnudos a los 'hackers'

  16 Agosto 2018    Leído: 705
Una aplicación de Android expuso 1,7 millones de contraseñas y fotos de desnudos a los

De acuerdo con los investigadores, para acceder a los datos no hizo falta más que solicitarlos al servidor de la aplicación, utilizando lo que se conoce como una solicitud GET.

No es un secreto que los servicios de Google Play están llenos de aplicaciones que se venden a parejas y padres que quieren espiar a sus seres queridos. Tampoco, que a menudo esas herramientas se usan en relaciones abusivas y son instaladas por el abusador en el teléfono de la víctima sin que esta lo sepa. Lo que no todos saben es que, además de esas publicitadas grietas para la violación de la privacidad,  hay en los 'smartphones' una gran cantidad de vulnerabilidades básicas e impactantes que fácilmente permiten a cualquier persona iniciar sesión y espiar teléfonos con solo ejecutar el correspondiente 'software', informa Forbes.

De acuerdo con la revista, el ejemplo más preocupante es una aplicación llamada Couple Vow, que expuso a terceros 1,7 millones de contraseñas de sus usuarios. Así, cualquiera que tenga allí acceso a una cuenta no solo podrá obtener todos los datos de ubicación, texto y llamadas de quien sea que esté siendo rastreado, sino todo el contenido enviado a través de la función de mensajería de la aplicación. Esto ya sucedió, y en algunos casos los datos robados incluyeron imágenes de desnudos.

Revelan que Google controla nuestros movimientos a pesar de no tener permiso
La fuga fue descubierta por investigadores del Instituto Fraunhofer de Tecnología de la Información Segura (SIT, por sus siglas en inglés), con sede en Alemania, que presentaron sus hallazgos en la convención de hackeo DEF CON, realizada en Las Vegas este sábado.

De acuerdo con los investigadores, todo lo que hacía falta era solicitar los datos del servidor de la aplicación, utilizando lo que se conoce como una solicitud GET. No fue necesario ingresar un nombre de usuario o contraseña. "Ni siquiera tienes que atacar el servidor. Una única solicitud GET permitió obtener todos los datos, ya que no hubo autenticación en absoluto", dijo a Forbes el investigador de seguridad de SIT, Siegfried Rasthofer.

Los desarrolladores de Couple Vow, por su parte, no han respondido aún a múltiples solicitudes de comentarios.

Otras 18 aplicaciones de seguimiento, con millones de usuarios, también fueron investigadas por Rasthofer y sus colegas, Stephan Huber y Steven Arzt, en el transcurso del año pasado. Todas contenían puntos débiles que podían aprovecharse para acceder a las cuentas, incluyendo desvíos de inicio de sesión y comunicaciones no protegidas.

RT


Etiquetas: