Uber deja expuesto a sus usuarios, por problemas de administración de identidades

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

La falta de seguridad deja a las apps de viajes compartidos vulnerable a ataques a las identidades de clientes

Investigadores rusos han examinado la seguridad de 13 aplicaciones para viajes compartidos por diferentes fabricantes de alrededor del mundo entre las que figura Uber, incluyendo Rusia, EE.UU. y Europa.

Los expertos descubrieron que todas las aplicaciones contienen una serie de problemas de seguridad que pueden permitirle a los delincuentes tomar el control de los vehículos compartidos, ya sea sigilosamente o bajo la apariencia de otro usuario.

Una vez que se obtiene el acceso a través de la aplicación, el criminal puede hacer casi cualquier cosa, desde robar el auto o su información, hasta causar daños o utilizarlo con fines maliciosos.

Las aplicaciones se han diseñado para hacer más fáciles nuestras vidas y las transacciones más convenientes.

Este concepto ha ido un paso más allá con el advenimiento de las aplicaciones para “compartir”, que hacen que todo, desde la entrega de alimentos, hasta compartir un taxi y un automóvil, sea una manera más económica de usar los servicios.

Sin embargo, aunque las aplicaciones para compartir automóviles son invaluables para quienes tienen bajos ingresos y eliminan cualquier sobrepago por propiedad o mantenimiento de un vehículo, también pueden suponer un riesgo de seguridad, tanto para los fabricantes como para los usuarios.

Para conocer el alcance del problema, los investigadores probaron 13 aplicaciones de uso compartido de automóviles, desarrolladas por los principales fabricantes de diferentes mercados que, según las estadísticas de Google Play, se han descargado más de un millón de veces.

La investigación descubrió que cada una de las aplicaciones examinadas contenía varios problemas de seguridad.

Además, los investigadores descubrieron que los usuarios malintencionados ya están sacándole provecho a las cuentas robadas de aplicaciones de viajes compartidos.

La lista de vulnerabilidades de seguridad descubiertas incluye:

  • Falta de defensa contra los ataques man-in-the-middle (MITM). Esto significa que, aunque un usuario crea que está conectado a un sitio web legítimo, en realidad el tráfico está siendo redirigido a través del sitio del atacante, lo que le permite recopilar los datos personales ingresados por la víctima (nombre de usuario, contraseña, PIN, etc.)
  • Falta de defensa contra la ingeniería inversa de la aplicación. Como resultado, un delincuente puede comprender cómo funciona la aplicación y encontrar una vulnerabilidad que le permita obtener acceso a la infraestructura del lado del servidor.
  • Ausencia de técnicas de detección de rooting. Los derechos raíz (root) proporcionan a un usuario malintencionado posibilidades casi infinitas y dejan la aplicación indefensa.
  • Falta de protección contra las técnicas de superposición de aplicaciones. Esto ayuda a las aplicaciones maliciosas a mostrar ventanas de suplantación de identidad y robar las credenciales de los usuarios.
  • Menos de la mitad de las aplicaciones exigen contraseñas seguras de los usuarios, lo que significa que los delincuentes pueden atacar a la víctima en un caso simple de fuerza bruta.

Después de realizar un ataque exitoso, el delincuente puede obtener discretamente el control del automóvil y utilizarlo con fines maliciosos– desde viajar en el auto de forma gratuita y espiar a los usuarios, hasta robar el vehículo y su información, e incluso casos aún más graves como robar datos personales de los usuarios y venderlos en el mercado negro para obtener ganancias financieras.

Esto podría llevar a que los delincuentes realicen movimientos ilegales y peligrosos en las carreteras bajo las identidades de otras personas.

 

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS