No se desanime más tarde por no conocer los riesgos de privacidad y seguridad de sus aplicaciones móviles ahora

No se desanime más tarde por no conocer los riesgos de privacidad y seguridad de sus aplicaciones móviles ahora

Cada semana se publican nuevos informes sobre los problemas de privacidad y seguridad que afectan a los consumidores cotidianos a través de las aplicaciones móviles. FaceApp, la aplicación móvil para iOS y Android, utiliza tecnología de redes neuronales para generar automáticamente transformaciones muy realistas de rostros en fotografías. La aplicación puede transformar una cara para hacerla sonreír, parecer más joven, parecer mayor o cambiar de género. Los riesgos de privacidad inherentes de esta aplicación, que ha estado disponible durante dos años, solo se convirtieron en un problema cuando se supo a través de un tweet que se volvió viral que la aplicación era desarrollado por una empresa rusa.

La realidad es que nuestros dispositivos móviles están llenos de aplicaciones aparentemente inocuas. Sin embargo, la mayoría de nosotros no tenemos idea de cuánta información realmente recopilan esas aplicaciones. No tenemos idea de qué tipo de riesgos de seguridad incurrimos.

Recientemente, TechCrunch informó La primera liga de fútbol española, LaLiga, se impuso una multa de aproximadamente $280,000 por violaciones de privacidad del Reglamento General de Protección de Datos (RGPD) de Europa, en relación con su aplicación oficial.

Según la historia, «los usuarios de la aplicación LaLiga se indignaron al descubrir que el software del teléfono inteligente hace algo más que mostrar comentarios minuto a minuto de los partidos de fútbol, ​​pero puede usar el micrófono y el GPS de los teléfonos de los fanáticos para grabar su entorno en un intento para identificar bares que transmiten juegos de manera extraoficial en lugar de toser para obtener derechos de transmisión.

“Los fanáticos involuntarios que no habían leído las hojas de té de los permisos opacos de la aplicación recurrieron a las redes sociales para descargar su enojo al descubrir que habían sido cooptados en una fuerza policial no oficial de piratería de LaLiga cuando la aplicación reutilizó los sensores de sus teléfonos inteligentes para delatar su bares locales favoritos.”

El mes pasado, escribimos en un blog acerca de nuestros hallazgos sobre las aplicaciones bancarias y encontramos todas las aplicaciones bancarias no son iguales. Luego miramos la aplicación de LaLiga con la misma tecnología que miramos la Aplicaciones bancarias para iOS y Android de los 45 principales bancos y proveedores de pagos móviles de EE. UU. Nuestros hallazgos son, por un lado, sorprendentes, pero por otro no tan inesperados.

Según la historia de TechCrunch, ya sabíamos, y confirmamos a través de nuestros hallazgos, que el micrófono y el GPS de aplicación LaLiga los teléfonos de los usuarios podrían usarse para grabar su entorno. Además, encontramos:

  • La aplicación tiene varias bibliotecas de análisis diferentes instaladas para medir la participación del cliente y el rendimiento de la aplicación, pero luego incluye lo que parece ser una puerta trasera para capturar métricas de comunicación, como detalles de llamadas telefónicas y descubrimiento de redes WiFi.
  • También se recopila el uso de energía, CPU, memoria y uso de procesos.
  • Todos estos datos se asignan a la huella digital del dispositivo junto con el UUID y la información adicional del dispositivo, lo que le da a La Liga poderosas capacidades de seguimiento del dispositivo y del usuario, más allá del uso de la aplicación de La Liga.
  • La funcionalidad para mapear la intensidad de la señal WiFi se utiliza para triangular la posición del usuario. Este método se usa a menudo como un enfoque secundario para capturar la ubicación del usuario cuando el servicio de ubicación está deshabilitado en el dispositivo.
  • La gestión de la recopilación de datos se controla a través de un archivo de configuración en Internet mediante HTTP, no HTTPS.

La aplicación tiene la capacidad de rastrear la ubicación de un usuario sin que la función de ubicación esté habilitada en el dispositivo. Está enviando esos datos a través de canales no cifrados, lo que podría exponer los datos del usuario a ser capturados por un tercero.

Más allá de implementar a sabiendas funciones que pueden violar la ética de la seguridad o la privacidad, también hay violaciones accidentales que contribuyen al aumento del riesgo de las aplicaciones. No sabemos si LaLiga era consciente de la falta de encriptación. Sabemos que muestra prácticas descuidadas.

Es muy común que los desarrolladores no se adhieran a las mejores prácticas de codificación. En un esfuerzo por cumplir con los plazos, los desarrolladores suelen tomar atajos. Con frecuencia incluyen código adicional para habilitar funciones que pueden tener consecuencias no deseadas para la privacidad y la seguridad.

También sabemos que las aplicaciones de consumo como la aplicación de LaLiga se pueden encontrar en dispositivos móviles utilizados por ejecutivos, comerciales y emprendedores. Ahora eso los dispositivos móviles son la plataforma de facto para la productividad en los negocios, vemos que aparecen aplicaciones riesgosas en casi todos los teléfonos inteligentes, lo que crea graves riesgos de privacidad y seguridad para el individuo y esa empresa.

¿Qué tan riesgosa es una aplicación riesgosa?

¿Cómo sabemos toda esta información? Nuestro mecanismo de reporte de Zimperium se llama z3A – un servicio de exploración de reputación de aplicaciones que evalúa continuamente los riesgos que plantean las aplicaciones móviles. z3A proporciona inteligencia profunda sobre el comportamiento de la aplicación, incluido el contenido (el código de la aplicación en sí), la intención (el comportamiento de la aplicación) y el contexto (los dominios, certificados, código compartido, comunicaciones de red y otros datos).

Para una empresa, z3A es un recurso invaluable. Es el único producto que puede brindar automáticamente a las empresas una verdadera visibilidad de los riesgos a los que exponen las aplicaciones de sus empleados a sus empresas: cada empleado y cada una de las apps que traen consigo al trabajo.

Nuestros clientes son organizaciones empresariales y agencias gubernamentales de todo el mundo. Tienen cientos de miles de empleados que usan millones de aplicaciones (sí, Candy Crush y FaceApp cuentan).

z3a permite a las organizaciones comprender mejor el riesgo que representan las aplicaciones móviles en su entorno. Junto con capacidades empresariales adicionales en la plataforma Zimperium más grande, z3A puede reducir ese riesgo.

No todas las aplicaciones riesgosas son motivo de preocupación. Una visión profunda del comportamiento de la aplicación puede ayudar a separar lo bueno de lo malo. Brindamos calificaciones de privacidad y seguridad, explicando cuáles son los componentes básicos de una aplicación y qué puede hacer la aplicación. Permite a las empresas crear políticas de seguridad personalizadas para limitar o eliminar aplicaciones de riesgo de los dispositivos administrados.

Las políticas de seguridad pueden monitorear aplicaciones específicas fuera de cumplimiento y herramientas directas de administración de defensa móvil (MDM) para tomar medidas según lo definido por la organización. Esto lo mantiene protegido de las aplicaciones que son malas y garantiza que las aplicaciones inocentes aún se puedan usar para los negocios regulares.

Deja un comentario