La aplicación de Google Play «Peel Smart Remote» filtra las imágenes de los usuarios

15 abril, 2019
28 Compartido 1,440 Visualizaciones

Graves problemas de seguridad descubiertos en la versión 10.7.3.3 de la aplicación.

La aplicación Peel Smart Remote es una aplicación Google Play ampliamente utilizada (más de 100 millones de instalaciones) que a menudo ha sido noticia debido a sus comportamientos altamente intrusivos, como superposiciones de pantalla completa y publicidad inoportuna, lo que provoca una mala experiencia de usuario.

La semana pasada, el motor de seguridad de Pradeo alertó a sus usuarios sobre los graves problemas de seguridad descubiertos en la versión 10.7.3.3 de la aplicación. Se ha encontrado que la aplicación recopila y filtra las imágenes de los usuarios a un servidor que no pertenece al editor de la aplicación. El viernes pasado, la aplicación se actualizó en la tienda Google Play (ahora la versión 10.7.4.2), se eliminó el código con fugas del código, pero la compañía no realizó ninguna comunicación al respecto. Debido a que la actualización de las aplicaciones no es automática en todos los dispositivos Android, millones de usuarios que ejecutan la versión anterior de la aplicación todavía están expuestos.

Imágenes filtradas a un servidor de propiedad externa

La versión de Peel Smart Remote 10.7.3.3 está programada para enviar imágenes contenidas en el almacenamiento externo de los dispositivos a un servidor que no pertenece a Peel Technologies. Para evitar la violación de las imágenes, el Laboratorio de Pradeo recomienda a cualquier persona que use esta aplicación que la actualice a su última versión disponible.

Data collection

Data sending

Una lista masiva de solicitudes de permisos

Para acceder a las imágenes de los usuarios, la aplicación Peel Smart Remote utiliza los siguientes permisos: Android.permission.WRITE_EXTERNAL_STORAGE

Android.permission.READ_EXTERNAL_STORAGE

Adecceda la documentación oficial de los desarrolladores de aplicaciones de Android, «El almacenamiento externo es el mejor lugar para los archivos que no No requiera restricciones de acceso y para los archivos que desea compartir con otras aplicaciones o permitir que el usuario acceda con una computadora ”. Al escribir cualquier cosa en el almacenamiento externo, la aplicación Peel Smart Remote expone los datos de sus usuarios. Al leerlo, accede a las imágenes, videos, audio y cualquier otro archivo almacenado en los usuarios. Además, es interesante observar que la aplicación solicita permisos críticos que brindan acceso a la cámara, la lista de contactos, el calendario e incluso permiten grabar el audio. Aunque, estos permisos no parecen requerirse para el uso del control remoto.

Android.permission.CAMERA

Android.permission.READ_CONTACTS

Android.permission.READ_CALENDAR

Android.permission.RECORD_AUDIO

Peel Smart Remote permission requests

Otra información confidencial enviada a través de la red

Para finalizar, aparece en el informe proporcionado por el motor de seguridad de Pradeo que la aplicación recopila información personal como la edad, etnia, ingresos, orientaciones políticas, etc. de los usuarios, y los envía a través de la red.

Data collection

Data sending

El código original del Peel Smart Remote está ofuscado por una herramienta (Proguard) que cambia el nombre de las funciones por letras, lo que las hace más difíciles de entender a escala humana. En las 2 últimas capturas de pantalla, reemplazamos los nombres confusos por palabras que describen las funciones, para facilitar la comprensión.

Application ID

Package name: tv.peel.smartremote

Version: 10.7.3.3

Installs: 100M+

Developer: Peel Technologies

Te podría interesar

Asda visibiliza la pérdida desconocida con la tecnología de Tyco Retail Solutions
Actualidad
23 compartido784 visualizaciones
Actualidad
23 compartido784 visualizaciones

Asda visibiliza la pérdida desconocida con la tecnología de Tyco Retail Solutions

Vicente Ramírez - 15 octubre, 2018

SMaaS proporciona a la cadena británica Asda inteligencia de datos en tiempo real basada en la nube. Tyco Retail Solutions…

Primera solución de seguridad de la industria basada en redes neurales para proteger las infraestructuras críticas de la guerra cibernética
Soluciones Seguridad
12 compartido939 visualizaciones
Soluciones Seguridad
12 compartido939 visualizaciones

Primera solución de seguridad de la industria basada en redes neurales para proteger las infraestructuras críticas de la guerra cibernética

Vicente Ramírez - 13 diciembre, 2018

Symantec Industrial Control System Protection Neural defiende contra el malware transmitido por USB, la intrusión en la red y los…

Transformación digital: Las nuevas tres I’s : Insurance, Innovation & IOT’s
Actualidad
21 compartido1,276 visualizaciones
Actualidad
21 compartido1,276 visualizaciones

Transformación digital: Las nuevas tres I’s : Insurance, Innovation & IOT’s

Vicente Ramírez - 21 septiembre, 2018

El pasado miércoles 19 de septiembre, CyberSecurity News asistió como invitado a un evento organizado por Ingenico y SlimPay: Las nuevas…

Deje un comentario

Su email no será publicado