la semana pasada cuando un investigador de seguridad dijo que podía obtener fácilmente la ubicación precisa de cualquiera de los millones de usuarios de una aplicación de seguimiento de teléfonos ampliamente utilizada, teníamos que verlo por nosotros mismos.
Eric Daigle, estudiante de informática y economía de la Universidad de Columbia Británica en Vancouver, encontró las vulnerabilidades en la aplicación de seguimiento iSharing como parte de una investigación sobre la seguridad de las aplicaciones de seguimiento de ubicación. iSharing es una de las aplicaciones de seguimiento de ubicación más populares y cuenta con más de 35 millones de usuarios hasta la fecha.
Daigle dijo que los errores permitían que cualquiera que usara la aplicación accediera a las coordenadas de cualquier otra persona, incluso si el usuario no estaba compartiendo activamente sus datos de ubicación con nadie más. Los errores también expusieron el nombre del usuario, la foto de perfil y la dirección de correo electrónico y el número de teléfono utilizados para iniciar sesión en la aplicación.
Los errores significaron que los servidores de iSharing no verificaban adecuadamente que los usuarios de la aplicación solo pudieran acceder a sus datos de ubicación o a los datos de ubicación de otra persona compartidos con ellos.
Las aplicaciones de seguimiento de ubicación, incluidas las aplicaciones sigilosas de “stalkerware”, tienen un historial de fallos de seguridad que corren el riesgo de filtrar o exponer la ubicación precisa de los usuarios.
En este caso, a Daigle le tomó sólo unos segundos localizar a este reportero a unos pocos metros. Usando un teléfono Android con la aplicación iSharing instalada y una nueva cuenta de usuario, le preguntamos al investigador si podía obtener nuestra ubicación precisa usando los errores.
“¿770 Broadway en Manhattan?” Daigle respondió, junto con las coordenadas precisas de la oficina de TechCrunch en Nueva York desde donde el teléfono indicaba su ubicación.
El investigador de seguridad extrajo nuestros datos de ubicación precisos de los servidores de iSharing, a pesar de que la aplicación no compartía nuestra ubicación con nadie más. Créditos de imagen: TechCrunch (captura de pantalla)
Daigle compartió detalles de la vulnerabilidad con iSharing unas dos semanas antes, pero no recibió respuesta. Fue entonces cuando Daigle pidió ayuda a TechCrunch para contactar a los creadores de la aplicación. iSharing solucionó los errores poco después o durante el fin de semana del 20 al 21 de abril.
«Estamos agradecidos con el investigador por descubrir este problema para poder adelantarnos», dijo a TechCrunch el cofundador de iSharing, Yongjae Chuh, en un correo electrónico. «Nuestro equipo actualmente planea trabajar con profesionales de seguridad para agregar las medidas de seguridad necesarias para garantizar que los datos de cada usuario estén protegidos».
iSharing culpó de la vulnerabilidad a una característica que llama grupos, que permite a los usuarios compartir su ubicación con otros usuarios. Chuh le dijo a TechCrunch que los registros de la compañía mostraban que no había evidencia de que los errores se hubieran encontrado antes del descubrimiento de Daigle. Chuh admitió que «puede haber habido supervisión por nuestra parte», porque sus servidores no verificaban si los usuarios podían unirse a un grupo de otros usuarios.
TechCrunch retrasó la publicación de esta historia hasta que Daigle confirmó la solución.
«Encontrar la falla inicial en total fue probablemente aproximadamente una hora desde abrir la aplicación, descubrir la forma de las solicitudes y ver que crear un grupo con otro usuario y unirse a él funcionó», dijo Daigle a TechCrunch.
A partir de ahí, pasó algunas horas más creando un script de prueba de concepto para demostrar el error de seguridad.
Daigle, quien describió las vulnerabilidades con más detalle en su blog, dijo que planea continuar la investigación en el área de stalkerware y seguimiento de ubicación.
Lea más en TechCrunch:
Para contactar a este reportero, comuníquese por Signal y WhatsApp al +1 646-755-8849, o por correo electrónico. También puede enviar archivos y documentos a través de SecureDrop.