Continúo con el articulos sobre seguridad en aplicaciones móviles que había comenzado ayer. Habíamos hablado de Whatsapp y Spotbros. Hoy repasaremos cómo funcionan Viber, Skype y Google Hangouts.
VIBER
VIBER
Se estima que Viber ha alcanzado
recientemente las 200 millones de descargas[13].
Se trata de una aplicación que no solo permite mantener conversaciones de
mensajería sino que permite también realizar llamadas de voz sobre IP,
compitiendo en este área con aplicaciones como Skype, de Microsoft.
Viber se ha implantado menos en
España pero sigue siendo, junto con Whatsapp los reyes de este campo de la
mensajería móvil.
Sin embargo, desde el punto de
vista de la seguridad, Viber tiene grandes problemas y agujeros que le hecho
ser el centro de numerosas críticas.
Viber utiliza un sistema que no
requiere la creación de una cuenta para funcionar. Esto significa que el número
de teléfono del usuario se convierte en su nombre de cuenta, y los contactos de
su agenda son subidos a sus servidores para poder cruzarlos con los de otros
usuarios, y poder encontrar los contactos que también hayan instalado esta
aplicación.
Sin embargo, durante este proceso
la App no muestra ningún mensaje pidiendo permiso para subir la agenda del
usuario a los servidores de Viber.
Por otra parte, Viber recoge[14]
en su política de privacidad (que pocos llegamos siquiera a empezar a leer),
una advertencia informando de que compartirán nuestros datos personales y de
tráfico con proveedores “de confianza”, siempre y cuando lo consideren
necesario.
Cierto es que la compañía se
compromete a exigir a dichas terceras partes que protejan esos datos de acuerdo
a la legislación vigente. Sin embargo no deja de ser el acostumbrado
“disclaimer” que puede ser fácilmente violado sin nuestro conocimiento.
Por otra parte, no es nada fácil
darse de baja del servicio, ya que nuestros datos quedan almacenados en sus
servidores si no les mandamos un correo electrónico solicitándolo
específicamente. Aunque han prometido que para futuras versiones será mucho más
simple el borrado de nuestros datos.
Base de datos interna
Todo lo que tiene que ver con Viber se almacena en una base
de datos interna del dispositivo móvil. Se trata de una base de datos sqlite,
que puede ser fácilmente accedida, y esta sin cifrar, por lo que se puede
consultar y obtener:
- Todos los contactos (incluso los contactos no usuarios de
viber)
- Todos los mensajes y su localización geográfica
- Todas las llamadas hechas y recibidas
- Enlaces a los ficheros enviados (imágenes…)
- Los ficheros de log
- El ID del usuario de Viber
Otra pequeña pega de Viber es que
en el proceso de registro, un impostor podría[15]
indicar el número de teléfono de una víctima para que reciba el SMS automático
indicando el código de alta y la llamada de bienvenida automática. Sólo eso,
pero puede ser muy frustrante para la victima si un atacante repite una y otra
vez este proceso.
Por otra parte, el estado de
Viber se encuentra almacenado en un fichero de configuración, es decir en el móvil.
Esto significa que se puede modificar el estado actual de registro de "no
activado" a "activado" sin necesidad de código de activación. Es
más complejo de lo que pudiera parecer porque los servidores de Viber también
comprueban el estado del movil, pero es factible, por lo que se podría usar viber
desde un movil completamente desconocido (y por tanto realizar cualquier tipo
de maldad impunemente).
Sin embargo, no todo son pegas. Los mensajes y las llamadas
de Viber viajan cifrados a través de la red, aunque se desconoce el algoritmo
de cifrado.
Por útimo, comentar que el pasado mes de Abril se conoció
que la última versión de Viber para Android sufría un grave fallo de
seguridad[16] que
permitía saltarse la pantalla de bloqueo del terminal.
Concretamente, el problema está localizado en el módulo de
notificaciones del programa, que hace uso de la barra del sistema operativo
Android. El envío de mensajes y la interacción del usuario con esta barra,
provoca que el bloqueo de pantalla desaparezca. Para reproducir el problema,
basta con disponer de dos terminales móviles con Viber instalado y mandar un
mensaje de un terminal al otro.
Así, en caso de robo, resultaría muy sencillo saltarse el
bloqueo del terminal y conseguir el control completo.
Recientemente adquirido por
Microsoft, Skype tiene una larga historia ligada más bien al mundo de las
videoconferencias. Sin embargo Skype puede ser utilizado también como cliente
de mensajería móvil, por supuesto utilizando su propio protocolo, como los
demás clientes de este estudio.
Para empezar es importante reseñar que todo el tráfico,
tanto audiovisual, como los mensajes de texto, viajan cifrados de un extremo al
otro, aparentemente utilizando el algoritmo de cifrado AES-256[17]
(tal vez el más seguro actualmente).
Sin embargo recientemente se ha sabido[18]
que Microsoft puede descifrar estas conversaciones en algún punto intermedio
del trayecto de éstas. Desde Microsoft comentaron que esto era correcto y que
se hacía para filtrar SPAM y Phishing, pero en cualquier caso el asunto es que
Microsoft es capaz de descifrar una comunicación y volverla a cifrar.
Por otra parte, Skype tiene el mismo problema que tiene
Whatsapp en que no es necesario conocer a alguien para mandarle un mensaje.
Esto ha provocado que Skype haya sido, en su versión para PC, el centro de
varias campañas de malware. En la primera[19]
el malware se hacía pasar por una foto de perfil. En la segunda[20]
se aprovechaba de una URL acortada en un mensaje procedente de un desconocido.
Esta misma semana se ha conocido otro caso de malware para Skype similar al
anterior que se propagaba aprovechándose de URLs acortadas y que ha dejado más
de 300.000 afectados.
Recientemente sacada por Google, es la respuesta de Google
al Skype de Microsoft. Poco es lo que se puede decir por ahora de la seguridad
de esta prometedora plataforma.
Al contrario que lo que ocurre
con Skype, al estar asociado a la cuenta de Google+, sólo podemos entablar
conversaciones con gente a la que tengamos de amigos en esta red social
(también se sincroniza con los contactos de whatsapp) evitando así (o
dificultando al menos) la propagación de malware a través de la plataforma.
Aparentemente las conversaciones no van cifradas y además Google almacena el historial de las conversaciones en sus servidores. Según ellos para poder retomarlas desde cualquier lugar.
Todas las otras características
de Hangouts (como el chat o el acceso a Google Drive) funcionan mediante HTTPS
(con la excepción del acceso a Youtube).
Sin embargo al igual que ocurre
con Skype y con la mensajería de Apple, estas comunicaciones funcionan a través
de los servidores propietarios de la compañía y no hay forma de saber si
realmente estas conversaciones están siendo descifradas en algún punto
intermedio.
RESUMEN
Ninguna de las aplicaciones de
mensajería que se han comentado es la panacea, todas ellas tienen algún fallo
de seguridad, y más cuanto más usadas son, cosas que es perfectamente lógica.
Choca darse cuenta de que la
aplicación más utilizada es la que más fallos de seguridad presenta. Sin
embargo, el éxito de este tipo de aplicaciones está basado sobre todo en la
cantidad de personas que la tienen instalada más que en lo seguro que sea una
plataforma en concreto.
Quizás como usuarios deberíamos
plantearnos esto y ser perfectamente conscientes de los peligros que corremos
al usar algunas de estas aplicaciones.
[13] http://www.forbes.com/sites/parmyolson/2013/05/07/free-calling-app-viber-jumps-to-desktop-hits-200-million-users/
[14] http://iphoneros.com/12063/por-que-no-debemos-usar-viber
[15] https://www.os3.nl/_media/2011-2012/students/jeffrey_bosma/ssn_report.pdf
[16] http://www.redeszone.net/2013/04/25/viber-tiene-un-fallo-de-seguridad-que-pone-en-peligro-la-seguridad-de-los-smartphones/[13] http://www.forbes.com/sites/parmyolson/2013/05/07/free-calling-app-viber-jumps-to-desktop-hits-200-million-users/
[14] http://iphoneros.com/12063/por-que-no-debemos-usar-viber
[15] https://www.os3.nl/_media/2011-2012/students/jeffrey_bosma/ssn_report.pdf
[17] https://support.skype.com/en/faq/FA31/does-skype-use-encryption
[18] http://www.h-online.com/security/news/item/Skype-with-care-Microsoft-is-reading-everything-you-write-1862870.html
[19]http://blogs.protegerse.com/laboratorio/2012/10/08/una-nueva-variante-del-gusano-dorkbot-se-distribuye-a-traves-de-skype-simulando-ser-una-foto-de-perfil/
[20] http://blogs.protegerse.com/laboratorio/2013/04/05/contactos-de-skype-propagan-enlaces-con-malware/
[21] http://support.google.com/a/bin/answer.py?hl=en&answer=1261833
[18] http://www.h-online.com/security/news/item/Skype-with-care-Microsoft-is-reading-everything-you-write-1862870.html
[19]http://blogs.protegerse.com/laboratorio/2012/10/08/una-nueva-variante-del-gusano-dorkbot-se-distribuye-a-traves-de-skype-simulando-ser-una-foto-de-perfil/
[20] http://blogs.protegerse.com/laboratorio/2013/04/05/contactos-de-skype-propagan-enlaces-con-malware/
[21] http://support.google.com/a/bin/answer.py?hl=en&answer=1261833
No hay comentarios:
Publicar un comentario