El pasado julio el Ministerio de Sanidad, Servicios Sociales e Igualdad junto a Telefónica España presentaron una App social dirigida a las mujeres que sufren o han sufrido violencia de género para plataformas Android y iOS.
Esta App llamada Libres permite obtener información para ayudar a las mujeres a combatir esta lacra de nuestra sociedad y por ello he pensado que sería interesante realizar un análisis rápido para determinar la postura de seguridad y privacidad de la App.
Desconozco si esta App es realmente de ayuda a las mujeres que sufren violencia de género, sinceramente espero que sí, pero desde un punto de vista de seguridad la App tiene varios problemas. Solo he revisado la versión Android, aunque imagino que la versión iOS sufrirá problemas similares.
Este artículo no es ninguna crítica a la App o a sus desarrolladores sino todo lo contrario: es mi granito de arena para mejorar la seguridad y privacidad que se han descuidado un poco en una App que ayuda en un tema tan preocupante y sensible como la violencia de género.
Falsa sensación de seguridad
En la web del Ministerio podemos leer:
“Todo ello de un forma ágil, sencilla, intuitiva, gratuita y sobre todo confidencial ya que la aplicación se ha diseñado para que permanezca oculta en el menú del teléfono de tal manera que nadie más, salvo ella misma, sepa que dispone de una aplicación sobre violencia de género”.
Lo siento mucho, pero utilizar un icono falso similar a “Ajustes” en Android (ver Fig. 1) y que luego al ejecutar la App aparezca un falso menú (ver Fig. 2) que nos lleva a la auténtica aplicación al pulsar “Aplicación” (ver Fig. 3) no lo llamaría confidencial y diseñada para permanecer oculta como afirma el Ministerio.
¡Sin duda esta área se puede mejorar!
¡Comunicaciones en texto claro!
Otro problema de seguridad es que toda la comunicación entre la App y los servicios ofrecidos por el Ministerio es en texto claro. Aunque la App no contiene información sensible es siempre aconsejable cifrar las comunicaciones.
Un atacante podría estar espiando la red donde está conectado el dispositivo y ver que Libres está instalada. Además la App permite enviar comentarios / sugerencias al Ministerio que son enviadas sin cifrar.
¡Otra área más de mejora!
Recomendaciones de Seguridad
A continuación algunas recomendaciones para mejorar la seguridad y privacidad de esta App:
- La App contiene otros fallos de seguridad, como Debug activado por defecto.
- Toda comunicación debería estar cifrada mediante SSL.
- La App debería detectar si el dispositivo puede estar comprometido (ver mi articulo sobre rooted).
- Al diseñar una App siempre debemos realizar un modelo de amenazas que nos ayude a identificar los riesgos y cómo minimizarlos.
- Sería conveniente mejorar sustancialmente el mecanismo de ocultación de la App.
¿Qué mejoras de seguridad incluirías en la App?
¡Desearos un feliz verano, hoy 1 de agosto!
— Simon Roses Femerling