La primera diapositiva de la presentación de los investigadores. Crédito: Synack
(Crédito de la imagen: la primera diapositiva de la presentación de los investigadores. Crédito: Synack)

WASHINGTON: la seguridad deficiente en muchas aplicaciones de iOS permite que extraños rastreen la ubicación de los usuarios de iPhone, aquellos usuarios en peligro potencial, dijeron dos investigadores en la conferencia de hackers ShmooCon aquí el sábado (Ene. 17).

Patrick Wardle y Colby Moore, de la empresa de seguridad de la información Synack, con sede en Menlo Park, California, explicaron cómo Angry Birds, Starbucks, Las aplicaciones Tinder y Whisper para iOS filtraron la ubicación del usuario a posibles piratas informáticos que podrían interceptar los datos del GPS que se envían de vuelta a la aplicación. servidores.

Sin embargo, dijeron, Grindr, la aplicación de citas para hombres homosexuales, fue de lejos la peor que probaron, hasta el punto en que los defectos que le habían dicho a Grindr sobre, pero que el fabricante de la aplicación se negó a arreglar, permitir que la policía en Egipto encuentre e identifique a los usuarios locales de Grindr y los arreste indecencia.

MÁS: 5 peores fallos de seguridad de 2014

"Si rastrea los movimientos públicos de una persona, puede generar una cantidad increíble de datos personales", dijo Wardle, explicando por qué la protección de la ubicación del usuario era tan importante.

La presentación de Moore y Wardle, titulada "¡Ahí está Wally! Seguimiento de usuarios a través de aplicaciones móviles ", enumeró varias formas en las que las aplicaciones comunes de teléfonos inteligentes filtran datos de geolocalización, que aproximadamente tres cuartas partes de todas las aplicaciones de teléfonos inteligentes recopilan. Los investigadores analizaron solo las aplicaciones de iOS, pero no dijeron que las aplicaciones de Android fueran más seguras.

Una aplicación podría transmitir la ubicación del usuario a sus servidores de forma insegura, explicaron, más obviamente si enviaba esos datos en texto plano, pero también si fallaba en cifrarlos correctamente. Angry Birds fue visto por la Agencia de Seguridad Nacional como una fuente principal de datos de geolocalización transmitidos con fugas, según documentos filtrados por Edward Snowden.

O una aplicación podría almacenar la ubicación del usuario en el dispositivo de forma insegura, como se descubrió que estaba haciendo la aplicación Starbucks iOS en enero de 2014, mostrando a cualquiera que tuviera acceso al teléfono dónde había estado el usuario.

Algunas aplicaciones permiten la suplantación de ubicación, lo que permite al usuario falsificar dónde se encuentra. Otros transmiten la ubicación del usuario con demasiada precisión: una empresa de seguridad de Brooklyn en febrero de 2014 demostró que podía usar técnicas de triangulación para señalar a cualquier usuario de Tinder a menos de 100 pies.

"¿Las aplicaciones realmente necesitan especificar la latitud y la longitud hasta 12 puntos decimales?" Wardle se preguntó.

Una aplicación también podría hacer cosas que el usuario desconoce, dijeron Moore y Wardle. Podría tener interacciones ocultas con el servidor que podrían estar desprotegidas y abiertas al ataque de piratas informáticos, un descuido por parte de los desarrolladores.

O podría engañar completamente al usuario, como al ofrecer una opción para no compartir datos de ubicación precisos con otros usuarios, pero luego transmitir toda esa información al servidores de todos modos, e incluso dando esa información a agencias gubernamentales, como supuestamente se descubrió que la aplicación de mensajería supuestamente anónima Whisper estaba haciendo el otoño pasado.

La mayoría de las aplicaciones de teléfonos inteligentes con fugas solo tienen una o dos de estas fallas de seguridad de geolocalización comunes, dijeron Wardle y Moore. Pero Grindr tenía los seis, que podían combinarse para convertir Grindr en una herramienta para el "seguimiento total".

"Es realmente fácil delimitar quién es quién" usando Grindr, dijo Moore, y agregó que simplemente seguir los movimientos diarios de una persona revelaría rápidamente sus direcciones exactas de casa y trabajo.

Los investigadores falsificaron las ubicaciones de Grindr para que los servidores de Grindr vieran un solo iPhone en varias ubicaciones casi simultáneamente. Cada ubicación mostraría una distancia relativa diferente, pero demasiado precisa, a otro usuario de Grindr que estaba siendo (voluntariamente) apuntado; Entonces, la ubicación del objetivo podría triangularse con mucha precisión con un solo iPhone en lugar de tres o más.

La interfaz de usuario de Grindr era más que engañosa, dijeron. Incluso si un usuario opta por no compartir la distancia relativa, esa información se transmite a todos los demás usuarios, si no se muestra. Pero la falta de protección de la aplicación Grindr en sí no solo permitió a los atacantes expertos leer los datos ocultos de distancia recibida, sino que también podría revelar el nombre, la altura, la edad y la apariencia del remitente.

Wardle y Moore dijeron que habían completado gran parte de esta investigación a principios de 2014, momento en el que le informaron a la empresa matriz de Grindr sobre las fallas. La empresa, dijeron los dos, no estaba interesada y se negó a implementar soluciones.

Unos meses más tarde, dijeron Moore y Wardle, alguien más encontró los mismos defectos y publicó de forma anónima los exploits en Pastebin. Días después, dijeron, la policía de Egipto decidió implementar las hazañas para arrestar a hombres homosexuales.

Después de que las noticias de los arrestos llegaran a Occidente, Grindr hizo cambios. Primero, arregló la interfaz de usuario para que la exclusión voluntaria de distancia relativa realmente funcionara. Varios días después, se aseguró de que los usuarios de Grindr en Egipto y varios otros países conocidos por reprimir a los homosexuales tuvieran desactivado el uso compartido de distancia relativa de forma predeterminada.

"No vemos esto como una falla de seguridad", una publicación en el blog oficial de Grindr discutiendo la situación egipcia, dijo.

Sin embargo, señalaron Moore y Wardle, la aplicación Grindr aún no protege sus comunicaciones con el servidor, ocultas o no, y no evita la suplantación de ubicación.

Todos los desarrolladores de aplicaciones, dijeron, deben asegurarse de que sus comunicaciones y almacenamiento de datos sean totalmente seguro, que la geolocalización del usuario no es demasiado precisa y que las interfaces de usuario son veraces y claro. Todos los usuarios, agregaron, deben asumir que las aplicaciones de teléfonos inteligentes los están rastreando en todo momento, y deben deshabilitar el seguimiento en la configuración general, no aplicación por aplicación, si se sienten incómodos con ese.

  • Consejos de seguridad de iOS 8 para mantener sus datos seguros
  • 10 configuraciones de privacidad y seguridad de Facebook para bloquear
  • 12 aplicaciones móviles de privacidad y seguridad

Paul Wagenseil es editor senior de Tom's Guide centrado en la seguridad y los juegos. Síguelo en @snd_wagenseil. Siga la guía de Tom en @tomsguide, en Facebook y en Google+.