¿Envían tus apps Android datos sin cifrar?

11 junio, 2018
33 Compartido 2,162 Visualizaciones

¿Te has preguntado alguna vez que está haciendo tu teléfono Android? Si es así, estás de suerte ya que este artículo trata ese tema.

Los teléfonos están cerrados para que no te tengas que preocupar de lo que hay debajo de la cubierta. Eso está bien si quieres un dispositivo que simplemente funcione, pero es exactamente lo opuesto si eres de los que te preocupas por lo que puede estar haciendo sin que tú lo sepas, como nos ocurre a nosotros.

Afortunadamente, si tienes algo de tiempo y algunos conocimientos técnicos, existen maneras sencillas de saber que están haciendo tus apps.

Una de las cosas que más nos preocupan es sobrecompartir, es decir apps enviando más información de la que necesitan o haciéndolo de manera no segura como usando una conexión HTTP sin cifrar en vez de una HTTPS.

Estas inquietudes nos han llevado a realizar un análisis de las apps más populares de Android, utilizando la metodología marcada por OWASP.

Os ofrecemos lo que hicimos y lo que hemos descubierto y cómo puedes hacerlo tú.

Apps sobrecompartiendo

Hemos echado un vistazo a las apps más populares de Google Play, hemos escogido unas cuantas al azar, las hemos instalado y monitorizado su tráfico para ver que comparten.

Hemos investigado catorce apps muy populares.

  • Cuatro envían información sin cifrar lo que hace que sea muy sencillo espiarlas en una wifi pública.
  • Una compartía dirección de correo electrónico y tokens de autenticación en texto plano.
  • Otra compartía código postal, versión de Android y carga de batería (una huella potencial).

Nos asombró lo fácil que es descubrir esos problemas básicos de seguridad y compartimos lo que encontramos con los desarrolladores de las apps.

Hay millones de apps en Google Play y otros tantos en otros mercados, muchos más de los que podemos testear. Por eso os explicamos cómo puedes hacerlo tú mismo.

Una forma sencilla de espiar tus apps

La configuración más básica te permitirá saber si las apps utilizan HTTP en vez de HTTPS. No te dirá todo lo que hacen las apps, pero es un buen punto de partida.

Para ver lo que hace nuestro teléfono Android instalamos Fiddler en un ordenador con Windows que esté en la misma red wifi que el teléfono que queramos espiar.

Fiddler es un proxy de depuración descargable gratuito que te permite ver el tráfico de salida y entrada de un dispositivo Android (existen otros proxy como BURP Suite o Charles).

La configuración de Windows

Instala Fiddler en tu ordenador Windows. Ábrelo y vete a Tools > Options > Connections.

La pestaña Connections te muestra que puerto está escuchando Fiddler (es el 8888 por defecto). Si quiere usar un puerto diferente, cámbialo y anótalo, lo vas a necesitar más tarde.

Lo siguiente es saber cuál es la IP del ordenador Windows.

Abre la línea de comandos y teclea ipconfig. Tu dirección de IP aparecerá como IPv4 Address debajo del adaptador de red que utilice tu ordenador para conectarse a la red wifi (por razones obvias tanto el ordenador Windows como el teléfono tienen que estar en la misma red wifi).

La configuración de Android

Con Fiddler configurado en Windows, tienes que hacer que el dispositivo Android utilice el proxy de manera que todo el tráfico pase por él. Esta es la manera de hacerlo:

  1. Abre Ajustes
  2. Abre Ajustes wifi
  3. Selecciona la red wifi en la que esté tu ordenador Windows
  4. Escoge Opciones Avanzadas
  5. Cambia la configuración del proxy de Ninguna a Manual
  6. Introduce como proxy la dirección IP de tu ordenador Windows
  7. Pon como puerto del proxy el que le dijeras a Fiddler que escuchara

Ahora Fiddler está preparado para capturar el tráfico de dispositivo Android

Análisis

Ahora Fiddler está configurado como un hombre en el medio, por lo que podrás ver todo el tráfico de tus aplicaciones, si están utilizando HTTP y si potencialmente comparten más de lo que deben.

Un aspecto interesante de Fiddler es que puedes hacer doble clic en cualquier paquete que quieras inspeccionar y automáticamente identificara lo que cree que es la información más importante del paquete.

¿Qué debemos buscar:

  • Imágenes: como en los últimos problemas de Tinder, mis tests mostraron que algunas apps cifran todo el tráfico menos las imágenes.
  • Datos JSON: una de las apps testeadas enviaba un fichero JSON (una estructura de datos en texto plano) que incluía nombre de usuario, dirección de correo y detalles de autenticación.
  • URLs: te sorprenderás de lo que a veces puedes ver en un URL. Vimos nuestro IP, versión de Android, fabricante del teléfono, modelo, código postal, geolocalización, carga de la batería, todo en un URL.

La lista continua, y si tienes alguna sugerencia o comentario sobre lo que encuentras, por favor deja un comentario.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

McAfee potencia el binomio humano-máquina hacia un nivel superior
Actualidad
26 compartido1,805 visualizaciones
Actualidad
26 compartido1,805 visualizaciones

McAfee potencia el binomio humano-máquina hacia un nivel superior

Vicente Ramírez - 28 marzo, 2018

La compañía impulsa los equipos de operaciones de seguridad con soluciones que incluyen nueva arquitectura de datos, analítica de comportamiento e…

Aprende todo lo necesario sobre Blockchain, el pilar de los Bitcoins
Fintech
1112 visualizaciones
Fintech
1112 visualizaciones

Aprende todo lo necesario sobre Blockchain, el pilar de los Bitcoins

José Luis - 5 febrero, 2018

Las continuas subidas y bajadas del precio del Bitcoin hacen del tema, tendencia a nivel mundial. Grandes bancos como el Santander están…

EDR para proteger a las empresas de los ciberataques combinados
Soluciones Seguridad
19 compartido2,642 visualizaciones
Soluciones Seguridad
19 compartido2,642 visualizaciones

EDR para proteger a las empresas de los ciberataques combinados

Samuel Rodríguez - 7 junio, 2019

Sophos, anuncia Intercept X for Server con tecnología de Detección y Respuesta para Enpoints (EDR). Al incluir EDR a Intercept…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.