Días atrás Investigadores del Programa de Seguridad en TIC de la Fundación Sadosky del Ministerio de Ciencia, Tecnología e Innovación Productiva de Argentina, descubrieron vulnerabilidades en aplicaciones de Facebook para el sistema operativo Android.
Si bien el anuncio tuvo mucha repercusión, en esta nota lo analizamos y le contamos cuán críticas pueden ser para el usuario.
Según el comunicado, la explotación de las vulnerabilidades encontradas permitirían a cualquier usuario que comparta la misma red local (por ejemplo un WiFi de una cafetería) capturar video y grabaciones de audio de la víctima o utilizar remotamente su teléfono para navegar. Pero para lograr esto el atacante, además de tener determinados conocimientos específicos, debería contar con herramientas de hacking. Los problemas encontrados fueron identificados en el mes de mayo y Facebook ya publicó una actualización a sus aplicaciones que corrige estos problemas.
Según Iván Arce, director del Programa, “si bien no es un problema grave se podrían capturar videos o audios privados en dispositivos móviles por redes públicas, o alguien conectado a la misma red podría navegar a través de la aplicación usando el teléfono de otro usuario. Lo relevante son los millones de usuarios vulnerables ante una falla de este tipo”. Además agregó que “el uso de la telefonía celular en nuestro país es inmenso, una gran cantidad usa teléfonos inteligentes y más del 70% utiliza sistema operativo Android por lo que cualquier falla de seguridad tendría enorme impacto en nuestra población”.
Lo que no se tuvo en cuenta en este razonamiento es que la mayoría de los usuarios de teléfonos móviles Android cuenta con su propio plan de conexión a Internet, por lo que no se puede asumir que el 100% de los dispositivos se conecta a redes locales, la que es una de las características necesarias para que un intruso explote las vulnerabilidades.
El proyecto “Marvin” del Programa de Seguridad en TIC de la Fundación se enfoca en determinar características de seguridad y protección de datos de las aplicaciones para teléfonos móviles de uso más frecuente o masivo. Al encontrar vulnerabilidades en las aplicaciones investigadas, se realiza un proceso de identificación, documentación y reporte de problemas de seguridad a los fabricantes del software o responsables de su seguridad, procedimiento que es conocido como “Vulnerability Disclosure”. A partir de este procedimiento, se publican y difunden los resultados a fin de informar a la población potencialmente afectada, dándole a su vez recomendaciones para su protección o mitigación del riesgo.
Al reconocer una vulnerabilidad, el equipo de la Fundación procede a intentar identificar al responsable o fabricante del software, notificándolo del problema, informándole la intensión de ayudar a su resolución y aclarándole que se publicará y difundirá el inconveniente y su potencial solución para protección de los usuarios. Asimismo la Fundación buscará acordar y coordinar con el responsable o fabricante la forma y tiempo necesarios para la resolución de la falla y, una vez resuelto el problema de seguridad o cumplido el plazo acordado con el fabricante para tal fin, publicar un reporte técnico.
Si bien Facebook solucionó rápidamente el problema señalado, puede suceder que el responsable no corrija los errores que ponen en peligro los datos de los usuarios. Por este motivo la Fundación podría decidir la publicación de la información de manera unilateral cuando: no se haya podido identificar al fabricante o responsable del software con problemas; cuando no se haya podido identificar al contacto del fabricante o responsable adecuado para reportarle problemas de seguridad o al encargado de que la resolución; se determine que el fabricante o responsable no tiene intención o capacidad para resolver el problema; la información sobre el problema se hiciera pública por algún tercero o se descubra que el problema ya está siendo explotado para cometer ilícitos.
Compartir nota:
