\n<\/p>\n
la semana pasada cuando<\/span> un investigador de seguridad dijo que pod\u00eda obtener f\u00e1cilmente la ubicaci\u00f3n precisa de cualquiera de los millones de usuarios de una aplicaci\u00f3n de seguimiento de tel\u00e9fonos ampliamente utilizada, ten\u00edamos que verlo por nosotros mismos.<\/p>\n Eric Daigle, estudiante de inform\u00e1tica y econom\u00eda de la Universidad de Columbia Brit\u00e1nica en Vancouver, encontr\u00f3 las vulnerabilidades en la aplicaci\u00f3n de seguimiento iSharing como parte de una investigaci\u00f3n sobre la seguridad de las aplicaciones de seguimiento de ubicaci\u00f3n. iSharing es una de las aplicaciones de seguimiento de ubicaci\u00f3n m\u00e1s populares y cuenta con m\u00e1s de 35 millones de usuarios hasta la fecha.<\/p>\n Daigle dijo que los errores permit\u00edan que cualquiera que usara la aplicaci\u00f3n accediera a las coordenadas de cualquier otra persona, incluso si el usuario no estaba compartiendo activamente sus datos de ubicaci\u00f3n con nadie m\u00e1s. Los errores tambi\u00e9n expusieron el nombre del usuario, la foto de perfil y la direcci\u00f3n de correo electr\u00f3nico y el n\u00famero de tel\u00e9fono utilizados para iniciar sesi\u00f3n en la aplicaci\u00f3n.<\/p>\n Los errores significaron que los servidores de iSharing no verificaban adecuadamente que los usuarios de la aplicaci\u00f3n solo pudieran acceder a sus datos de ubicaci\u00f3n o a los datos de ubicaci\u00f3n de otra persona compartidos con ellos.<\/p>\n Las aplicaciones de seguimiento de ubicaci\u00f3n, incluidas las aplicaciones sigilosas de \u201cstalkerware\u201d, tienen un historial de fallos de seguridad que corren el riesgo de filtrar o exponer la ubicaci\u00f3n precisa de los usuarios.<\/p>\n En este caso, a Daigle le tom\u00f3 s\u00f3lo unos segundos localizar a este reportero a unos pocos metros. Usando un tel\u00e9fono Android con la aplicaci\u00f3n iSharing instalada y una nueva cuenta de usuario, le preguntamos al investigador si pod\u00eda obtener nuestra ubicaci\u00f3n precisa usando los errores.<\/p>\n \u201c\u00bf770 Broadway en Manhattan?\u201d Daigle respondi\u00f3, junto con las coordenadas precisas de la oficina de TechCrunch en Nueva York desde donde el tel\u00e9fono indicaba su ubicaci\u00f3n.<\/p>\n El investigador de seguridad extrajo nuestros datos de ubicaci\u00f3n precisos de los servidores de iSharing, a pesar de que la aplicaci\u00f3n no compart\u00eda nuestra ubicaci\u00f3n con nadie m\u00e1s. Cr\u00e9ditos de imagen:<\/strong> TechCrunch (captura de pantalla)<\/p>\n<\/div>\n Daigle comparti\u00f3 detalles de la vulnerabilidad con iSharing unas dos semanas antes, pero no recibi\u00f3 respuesta. Fue entonces cuando Daigle pidi\u00f3 ayuda a TechCrunch para contactar a los creadores de la aplicaci\u00f3n. iSharing solucion\u00f3 los errores poco despu\u00e9s o durante el fin de semana del 20 al 21 de abril.<\/p>\n \u00abEstamos agradecidos con el investigador por descubrir este problema para poder adelantarnos\u00bb, dijo a TechCrunch el cofundador de iSharing, Yongjae Chuh, en un correo electr\u00f3nico. \u00abNuestro equipo actualmente planea trabajar con profesionales de seguridad para agregar las medidas de seguridad necesarias para garantizar que los datos de cada usuario est\u00e9n protegidos\u00bb.<\/p>\n iSharing culp\u00f3 de la vulnerabilidad a una caracter\u00edstica que llama grupos, que permite a los usuarios compartir su ubicaci\u00f3n con otros usuarios. Chuh le dijo a TechCrunch que los registros de la compa\u00f1\u00eda mostraban que no hab\u00eda evidencia de que los errores se hubieran encontrado antes del descubrimiento de Daigle. Chuh admiti\u00f3 que \u00abpuede haber habido supervisi\u00f3n por nuestra parte\u00bb, porque sus servidores no verificaban si los usuarios pod\u00edan unirse a un grupo de otros usuarios.<\/p>\n TechCrunch retras\u00f3 la publicaci\u00f3n de esta historia hasta que Daigle confirm\u00f3 la soluci\u00f3n.<\/p>\n \u00abEncontrar la falla inicial en total fue probablemente aproximadamente una hora desde abrir la aplicaci\u00f3n, descubrir la forma de las solicitudes y ver que crear un grupo con otro usuario y unirse a \u00e9l funcion\u00f3\u00bb, dijo Daigle a TechCrunch.<\/p>\n A partir de ah\u00ed, pas\u00f3 algunas horas m\u00e1s creando un script de prueba de concepto para demostrar el error de seguridad.<\/p>\n Daigle, quien describi\u00f3 las vulnerabilidades con m\u00e1s detalle en su blog, dijo que planea continuar la investigaci\u00f3n en el \u00e1rea de stalkerware y seguimiento de ubicaci\u00f3n.<\/p>\n Lea m\u00e1s en TechCrunch:<\/strong><\/p>\n Para contactar a este reportero, comun\u00edquese por Signal y WhatsApp al +1 646-755-8849, o por correo electr\u00f3nico. Tambi\u00e9n puede enviar archivos y documentos a trav\u00e9s de SecureDrop.<\/em><\/p>\n<\/p><\/div>\n