¡La App Libres no es tan libre!

Publicado el agosto 1, 2013 por Simon Roses

El pasado julio el Ministerio de Sanidad, Servicios Sociales e Igualdad junto a Telefónica España presentaron una App social dirigida a las mujeres que sufren o han sufrido violencia de género para plataformas Android y iOS.

Esta App llamada Libres permite obtener información para ayudar a las mujeres a combatir esta lacra de nuestra sociedad y por ello he pensado que sería interesante realizar un análisis rápido para determinar la postura de seguridad y privacidad de la App.

Desconozco si esta App es realmente de ayuda a las mujeres que sufren violencia de género, sinceramente espero que sí, pero desde un punto de vista de seguridad la App tiene varios problemas. Solo he revisado la versión Android, aunque imagino que la versión iOS sufrirá problemas similares.

Este artículo no es ninguna crítica a la App o a sus desarrolladores sino todo lo contrario: es mi granito de arena para mejorar la seguridad y privacidad que se han descuidado un poco en una App que ayuda en un tema tan preocupante y sensible como la violencia de género.

Falsa sensación de seguridad

En la web del Ministerio podemos leer:

“Todo ello de un forma ágil, sencilla, intuitiva, gratuita y sobre todo confidencial ya que la aplicación se ha diseñado para que permanezca oculta en el menú del teléfono de tal manera que nadie más, salvo ella misma, sepa que dispone de una aplicación sobre violencia de género”.

Lo siento mucho, pero utilizar un icono falso similar a “Ajustes” en Android (ver Fig. 1) y que luego al ejecutar la App aparezca un falso menú (ver Fig. 2) que nos lleva a la auténtica aplicación al pulsar “Aplicación” (ver Fig. 3) no lo llamaría confidencial y diseñada para permanecer oculta como afirma el Ministerio.

libres_screen8
Fig. 1

libres_screen4
Fig. 2

libres_screen7
Fig. 3

¡Sin duda esta área se puede mejorar!

¡Comunicaciones en texto claro!

Otro problema de seguridad es que toda la comunicación entre la App y los servicios ofrecidos por el Ministerio es en texto claro. Aunque la App no contiene información sensible es siempre aconsejable cifrar las comunicaciones.

Un atacante podría estar espiando la red donde está conectado el dispositivo y ver que Libres está instalada. Además la App permite enviar comentarios / sugerencias al Ministerio que son enviadas sin cifrar.

¡Otra área más de mejora!

Recomendaciones de Seguridad

A continuación algunas recomendaciones para mejorar la seguridad y privacidad de esta App:

  • La App contiene otros fallos de seguridad, como Debug activado por defecto.
  • Toda comunicación debería estar cifrada mediante SSL.
  • La App debería detectar si el dispositivo puede estar comprometido (ver mi articulo sobre rooted).
  • Al diseñar una App siempre debemos realizar un modelo de amenazas que nos ayude a identificar los riesgos y cómo minimizarlos.
  • Sería conveniente mejorar sustancialmente el mecanismo de ocultación de la App.

¿Qué mejoras de seguridad incluirías en la App?

¡Desearos un feliz verano, hoy 1 de agosto!

— Simon Roses Femerling

Publicado en Hacking Etico | Etiquetado , , , | Comentarios desactivados en ¡La App Libres no es tan libre!

Entrevista en RTVE

Publicado el julio 21, 2013 por Simon Roses

En el portal de RTVE en la sección de Tecnología se ha publicado una entrevista que me han realizado recientemente y que espero que los lectores del blog disfrutéis :)

En esta entrevista comento el trabajo realizado por VULNEX para el DARPA, siendo la única startup española en colaborar con el DARPA Cyber Fast Track (CFT) desarrollando un proyecto en I+D en ciberseguridad. También tratamos otros temas de interés como el perfil de los atacantes, por qué falla la seguridad en las empresas, la dificultad de emprender en este país y otras cuestiones.

Agradezco a la gente de RTVE su interés y apoyo a VULNEX para que el público vea que algunas empresas en España sí apostamos por el I+D y gracias a ello estamos trabajando en proyectos interesantes a nivel nacional e internacional.

— Simon Roses Femerling

Publicado en Emprendedores, Seguridad, Tecnologia | Etiquetado | Deja un comentario

OWASP Top Ten 2013 seminario gratuito

Publicado el julio 18, 2013 por Simon Roses

Ayer, 17 de julio, impartí un seminario gratuito sobre el OWASP Top Ten 2013 que se publicó recientemente y que describe las diez vulnerabilidades más comunes en aplicaciones Web. Este seminario es una colaboración entre la Catedral de Innovación del Ayuntamiento de Madrid y VULNEX para concienciar sobre ciberseguridad.

La presentación del seminario la tenéis colgada en la web de VULNEX.

Si desarrollas aplicaciones web, este documento es para ti!

Aquí os dejo una foto del seminario ;)

vulnex_OWASP_17junio13

Muchas gracias a la Cátedra de Innovación y a todos los asistentes.

Hasta el próximo evento!

¿Qué temas te gustaría que tratara en el próximo evento?

— Simon Roses Femerling

Publicado en OWASP, Privacidad, SDL, Seguridad, Tecnologia | Etiquetado , , , , , | Deja un comentario