El problema no es que haya apps de monitoreos de casos de COVID, el problema según la empresa especializada en ciberseguridad, Seekurity, es que fueron hechas de forma tan rápida que muchas no guardaron el proceso debido al momento de construir el envío de datos, cifrarlos, y garantizar la privacidad de los datos personales de sus usuarios.
Ahora mismo Seekurity está haciendo un análisis de todas las aplicaciones gubernamentales que existen en México para monitoreo de casos de COVID-19, y ya encontró tres que tiene vulnerabilidades por las que exponen información sensible de más de 69,000 usuarios.
Las aplicaciones son de los gobiernos de Chihuahua, Puebla y Sonora.
En una entrada en su blog, la empresa documenta los fallos de las aplicaciones y asegura que se ha puesto en contacto con los tres gobiernos para detallar los errores en los desarrollos, sin que hasta el momento tengan respuesta por parte de los gobiernos locales. Gran parte del problema radica, dice la empresa, en que "reportar vulnerabilidades de sistemas gubernamentales es difícil, ya que no existe una vía directa para notificarlas a los responsables directos".
Como resultado, Seekurity asegura llevar semanas en proceso de contactar a autoridades para reportar los fallos, pero al momento de la publicación no ha tenido respuesta.
Las vulnerabilidades de las apps
En la app 'COVID Puebla' el código fuente incluye un usuario y contraseña por las que un atacante podría "autenticarse al servicio que soporta la aplicación". Además, la empresa de seguridad asegura que la app no cuenta con medidas de seguridad para proteger la información enviada y recibida, de forma que es perfectamente posible desde un dispositivo Android interceptar la información que envía la aplicación.
Seekurity incluso consiguió hacer una petición a los servidores de la aplicación por la que recibió inmediatamente 266 registros de usuarios que han realizado el cuestionario de la aplicación. La información incluye nombre, fecha de nacimiento, número telefónico, ubicación geográfica, síntomas y resultado del diagnóstico de los usuarios.
En la aplicación COVID de Chihuahua, se detectó que el tráfico enviado no tiene cifrado alguno, de forma que se puede conseguir en texto plano. Ahí mismo Seekurity afirma que cualquier usuario enviando una petición diseñada para los servidores puede adquirir información de otros usuarios. Así, la empresa consiguió 65,000 registros almacenados en los servidores de la app.
Finalmente en la aplicación COVID de Sonora, Seekurity consiguió 3,790 registros de usuarios.
De los tres casos, la empresa no recibió respuesta de las fallas que fueron reportadas a los gobiernos locales, aunque en el caso de la aplicación de Puebla, esta ya fue dada de baja de la Play Store. De las otras dos apps siguen arriba las versiones auditadas por Seekurity. Los contactos a los gobiernos locales comenzaron el 15 de septiembre pasado.
Seekurity detalla que está investigando otras apps de monitoreo de COVID-19 en busca de fallas de seguridad, y asegura que de no recibir respuesta por parte de los gobiernos locales en un plazo máximo de 30 días luego de haber notificado vulnerabilidades, publicará en su sitio los resultados de las pruebas hechas.
Ver todos los comentarios en https://www.xataka.com.mx
VER 2 Comentarios