Una violación masiva de la privacidad en un nicho de aplicaciones de citas expone las fotos sensibles de los usuarios
Como parte de una investigación a gran escala sobre fallos de seguridad en aplicaciones para iOS, Cybernews ha descubierto problemas flagrantes que pueden haber provocado una filtración masiva de fotos privadas de varias aplicaciones nicho de citas, todas ellas de una tal M.A.D. Mobile. Estas imágenes procedían no sólo de perfiles y mensajes públicos, sino también de chats de usuarios, e incluso incluían las eliminadas por los moderadores. Ni que decir tiene que muchas de estas fotos eran de naturaleza explícita.
Cinco aplicaciones de M.A.D. Mobile se vieron afectadas: BDSM People, la lujosa aplicación de "citas azucaradas" Chica y las aplicaciones LGBT Pink, Brish y Translovefound. Todas estas aplicaciones no sólo utilizaban una arquitectura idéntica, sino que habían dejado credenciales de seguridad críticas como texto plano abiertamente en el código de la aplicación. Fueron estas claves secretas las que condujeron a los investigadores a los cubos de almacenamiento en la nube de Google, donde se encontraban las fotos sin ningún tipo de cifrado ni protección por contraseña. Esto significaba que cualquiera con la URL -que estaba expuesta públicamente- podría haber accedido al contenido multimedia.
Por supuesto, cada vez que fotos privadas quedan potencialmente expuestas a actores malintencionadosexiste el riesgo de acoso, extorsión y daño a la reputación. Sin embargo, las consecuencias de una violación de la privacidad serían probablemente mucho peores para los usuarios de aplicaciones especializadas en citas, sobre todo teniendo en cuenta que la homosexualidad es ilegal en muchos países.
La magnitud de la filtración es asombrosa: más de 1,5 millones de fotos subidas por los usuarios, o varios cientos de gigabytes de datos. Es una pequeña misericordia que los datos expuestos no contuvieran identidades de usuarios, nombres de usuario, correos electrónicos o mensajes, pero una simple búsqueda inversa de imágenes podría solucionarlo fácilmente. Cabe destacar que las cinco aplicaciones son exclusivas de iOS, sin Android ni versiones web.
Los investigadores de Cybernews se pusieron en contacto por primera vez con M.A.D. Mobile en enero, pero la filtración permaneció sin respuesta. Temiendo una inacción continuada por parte de la empresa, y en contra de su propia práctica habitual, Cybernews decidió publicar un informe del problema antes de que se solucionara. Sólo después de que la BBC enviara un correo electrónico a a la empresa que un representante respondió diciendo que efectivamente se había solucionado, al tiempo que agradecía a los investigadores su ayuda.
Este incidente sólo pone de relieve lo que muchos en el ámbito de la ciberseguridad ya saben: las aplicaciones de terceros para iOS no son de ninguna manera inherentemente seguras contra las filtraciones de datos. De hecho, la investigación de Cybernews arrojó un dato desconcertante. De las 156.000 aplicaciones que se examinaron (o el 8% de todas las aplicaciones de la tienda Apple ), se descubrió que el 71% de las aplicaciones exponían al menos un secreto. El código de la aplicación media exponía 5,2 secretos.
Lo más importante que se desprende de este incidente es que los usuarios deben evitar por completo el uso de aplicaciones de editores desconocidos, especialmente cuando se trata de información muy sensible. En concreto, los medios sensibles sólo deben compartirse en plataformas encriptadas y servicios que ofrezcan no sólo cierto grado de protección, sino también responsabilidad pública.
