La aplicación de Google Play «Peel Smart Remote» filtra las imágenes de los usuarios

15 abril, 2019
28 Compartido 3,180 Visualizaciones

Graves problemas de seguridad descubiertos en la versión 10.7.3.3 de la aplicación.

La aplicación Peel Smart Remote es una aplicación Google Play ampliamente utilizada (más de 100 millones de instalaciones) que a menudo ha sido noticia debido a sus comportamientos altamente intrusivos, como superposiciones de pantalla completa y publicidad inoportuna, lo que provoca una mala experiencia de usuario.

La semana pasada, el motor de seguridad de Pradeo alertó a sus usuarios sobre los graves problemas de seguridad descubiertos en la versión 10.7.3.3 de la aplicación. Se ha encontrado que la aplicación recopila y filtra las imágenes de los usuarios a un servidor que no pertenece al editor de la aplicación. El viernes pasado, la aplicación se actualizó en la tienda Google Play (ahora la versión 10.7.4.2), se eliminó el código con fugas del código, pero la compañía no realizó ninguna comunicación al respecto. Debido a que la actualización de las aplicaciones no es automática en todos los dispositivos Android, millones de usuarios que ejecutan la versión anterior de la aplicación todavía están expuestos.

Imágenes filtradas a un servidor de propiedad externa

La versión de Peel Smart Remote 10.7.3.3 está programada para enviar imágenes contenidas en el almacenamiento externo de los dispositivos a un servidor que no pertenece a Peel Technologies. Para evitar la violación de las imágenes, el Laboratorio de Pradeo recomienda a cualquier persona que use esta aplicación que la actualice a su última versión disponible.

Data collection

Data sending

Una lista masiva de solicitudes de permisos

Para acceder a las imágenes de los usuarios, la aplicación Peel Smart Remote utiliza los siguientes permisos: Android.permission.WRITE_EXTERNAL_STORAGE

Android.permission.READ_EXTERNAL_STORAGE

Adecceda la documentación oficial de los desarrolladores de aplicaciones de Android, «El almacenamiento externo es el mejor lugar para los archivos que no No requiera restricciones de acceso y para los archivos que desea compartir con otras aplicaciones o permitir que el usuario acceda con una computadora ”. Al escribir cualquier cosa en el almacenamiento externo, la aplicación Peel Smart Remote expone los datos de sus usuarios. Al leerlo, accede a las imágenes, videos, audio y cualquier otro archivo almacenado en los usuarios. Además, es interesante observar que la aplicación solicita permisos críticos que brindan acceso a la cámara, la lista de contactos, el calendario e incluso permiten grabar el audio. Aunque, estos permisos no parecen requerirse para el uso del control remoto.

Android.permission.CAMERA

Android.permission.READ_CONTACTS

Android.permission.READ_CALENDAR

Android.permission.RECORD_AUDIO

Peel Smart Remote permission requests

Otra información confidencial enviada a través de la red

Para finalizar, aparece en el informe proporcionado por el motor de seguridad de Pradeo que la aplicación recopila información personal como la edad, etnia, ingresos, orientaciones políticas, etc. de los usuarios, y los envía a través de la red.

Data collection

Data sending

El código original del Peel Smart Remote está ofuscado por una herramienta (Proguard) que cambia el nombre de las funciones por letras, lo que las hace más difíciles de entender a escala humana. En las 2 últimas capturas de pantalla, reemplazamos los nombres confusos por palabras que describen las funciones, para facilitar la comprensión.

Application ID

Package name: tv.peel.smartremote

Version: 10.7.3.3

Installs: 100M+

Developer: Peel Technologies

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

GFT y T-Systems sellan una alianza para impulsar la adopción del cloud en el sector financiero
Actualidad
12 compartido900 visualizaciones
Actualidad
12 compartido900 visualizaciones

GFT y T-Systems sellan una alianza para impulsar la adopción del cloud en el sector financiero

Vicente Ramírez - 8 julio, 2019

La colaboración abarca inicialmente los mercados de España, Andorra y Portugal. GFT y T-Systems, han anunciado un acuerdo estratégico de…

Michael Moore lanza TrumpiLeaks
Actualidad
582 visualizaciones
Actualidad
582 visualizaciones

Michael Moore lanza TrumpiLeaks

Redacción - 8 junio, 2017

El cineasta Michael Moore lanza el site TrumpiLeaks, una especie de wikileaks con información sobre Trump y su equipo de…

Akamai recibe el reconocimiento como líder en el Cuadrante mágico de Gartner de 2019 dentro de la categoría de WAF
Actualidad
9 compartido1,183 visualizaciones
Actualidad
9 compartido1,183 visualizaciones

Akamai recibe el reconocimiento como líder en el Cuadrante mágico de Gartner de 2019 dentro de la categoría de WAF

Vicente Ramírez - 3 octubre, 2019

  Según la consultora, en 2023 los servicios de protección de API y de aplicaciones web (WAAP) en la nube…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.