Se descubrió que una popular aplicación de seguimiento de teléfonos tenía fugas informacion delicada en millones de sus usuarios.
Un investigador de seguridad llamado Eric Daigle descubrió la falla en iSharing, una aplicación móvil para rastrear dispositivos con más de 10 millones de descargas en el Google Play Store, solo.
Al abusar de la vulnerabilidad, Daigle pudo obtener las coordenadas exactas de cada usuario, incluso si esos usuarios no compartían activamente su ubicación con nadie más.
Mejorando la seguridad
Si bien conocer la ubicación precisa de alguien es un gran riesgo de seguridad por sí solo, los problemas de iSharing no terminaron ahí. Daigle también pudo descubrir los nombres de los usuarios, las fotos de perfil e incluso los números de teléfono y direcciones de correo electrónico utilizados para iniciar sesión en la aplicación.
Esta es información más que suficiente para alguien que apostará una casa y esperará a que su dueño se vaya antes de entrar por la fuerza.
Daigle profundiza en los hallazgos en su blog, que puedes leer aquí. La esencia del asunto es que los servidores de iSharing estaban haciendo un mal trabajo al verificar quién podía acceder a los datos de ubicación de quién.
El investigador descubrió el fallo durante una investigación más amplia sobre la seguridad de las aplicaciones móviles de seguimiento de ubicación. Se acercó a los desarrolladores, quienes supuestamente no le devolvieron la llamada. Después de eso, buscó la ayuda de TechCrunch quienes también fueron los que dieron la noticia.
«Estamos agradecidos con el investigador por descubrir este problema para poder adelantarnos», dijo el cofundador de iSharing, Yongjae Chuh. TechCrunch en un correo electrónico. «Nuestro equipo actualmente planea trabajar con profesionales de seguridad para agregar las medidas de seguridad necesarias para garantizar que los datos de cada usuario estén protegidos».
Más tarde, la compañía confirmó que una función de la aplicación, llamada grupos, tenía fallas. La buena noticia es que no hay evidencia de que nadie haya descubierto la vulnerabilidad antes que Daigle. Desde entonces se ha implementado una solución.