Paranoia Hack Miércoles, 24 diciembre 2014

Esta aplicación del Mincetur en tu smartphone pudo estar espiándote y no te diste cuenta

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

Qué serían los Smartphone sin las aplicaciones. Cada app instalada es una ayuda que nos resolverá alguna necesidad, y para ello, necesita que nosotros le demos ciertos permisos, similar a darle una llave de ingreso. Este permiso hará que la aplicación utilice datos de nuestro teléfono celular. Pero ¿qué sucede si una aplicación tiene permisos exagerados que más parecen ser utilizados para procesos poco éticos?. Encontramos una aplicación de una institución muy importante con permisos extraños. Aquí te mostramos el análisis.

aplicacion-boton-panico-mincetur-graba-microfono-peru-

Todo empezó el día 22 de noviembre cuando el periodista Fernando Alayo O. del diario El Comercio me consultó sobre una aplicación de emergencias llamada Tourism Police Peru que lanzó el Mincetur. La aplicacion no la conocía pero me pareció una excelente idea para mitigar la inseguridad, ya que muchos ciudadanos podrían beneficiarse. Sin embargo, el periodista me comenzó a detallar características que me empezaron a sonar extrañas, así que luego de la conversación, busqué la aplicación para revisar sus permisos de acceso, llevándome la sorpresa que tiene accesos que no tienen un por qué a la función de la app.

 

Prueba de Fuego

Los usuarios nunca se fijan en los permisos al momento de instalan una aplicación, más aún si esta le promete algo impresionante. Normalmente los ciberdelincuentes y los administradores descuidados (o no éticos) suelen dar permisos exagerados a las aplicaciones para acceder, controlar y hasta vigilar un dispositivo ajeno sin que nadie lo percate. Para ello solo hace falta crear una aplicación en Android con el permiso “READ_EXTERNAL_STORAGE” y listo, todo quien la instale nos dará acceso total a su celular. Fácil, rápido y elegante XD

Cabe señalar que la aplicación Tourism Police Peru fue modificada un 27/11, (ahora sé que el periodista se comunicó para que la arreglen), la captura que tengo de la aplicación iniciaal tiene los permisos extraños, la imagen que capturé corresponde al 23/11, y la conversación con Fernando Alayo O. sobre esta app fue el 20/11. Pero vayamos a las pruebas y al análisis.

aplicacion-boton-panico-mincetur-graba-microfono-peru00

APLICACION CON ACCESO TOTAL                        &                APLIACIÓN CON CAMBIOS ACTUALES

aplicacion-boton-panico-mincetur-graba-microfono-peru-3

 

¿Qué es esta app?

 

VIDEO DE LA PRESENTACIÓN DE TOURIST POLICE PERÚ

Análisis

Para adentrar al código de la aplicación nos ayudó Jose Luis Bugarin, experto de CEO iluminatic sac, quien se encargó de hacer una autopsia a la aplicación actual, un reverso que luego nos proporsionó para mostrarnos si continúa con los permisos para que poder activar nuestros microfonos y/o demás travesuras no gratas para nosotros. Siendo un acontecimiento relevante ya que un posible error en la configuración (más probable del desarrolador), haya dado permisos no correspientes. Cabe señalar que la nota tiene el interés de contribuir a la privacidad y buen funcionamiento de los dispositicos que utilizan nuestros usuarios.

La aplicación fue desarrollada en “Apache Cordova”, un framework de licencia libre que cuenta con muchas APIS para diversos dispositivos móviles que facilitan desarrollar aplicaciones. Cabe señalar que para el desarrollo de las aplicaciones se utilizan las tecnologías web HTML, CSS y JavaScript.

 ANATOMÍA ACTUAL DE TOURISM POLICE PERÚ

aplicacion-boton-panico-mincetur-graba-microfono-peru-small1__

aplicacion-boton-panico-mincetur-graba-microfono-peru-small2__

Es decir, para logar grabar el audio de un dispositivo se deberia configurar el permiso de esta manera:
<uses-permission android:name=”android.permission.RECORD_AUDIO” />

Y para poder usar el microfono:
<uses-feature android:name=”android.hardware.microphone” android:required=”true” />

Peligro resuelto:

El periodista del Diario El Comercio, Fernando Alayo, me escribió lo siguiente, que confirma el analisis del amiguix Bugarín.

Para Jose Luis Bugarin, él imagina (según su experiencia en apps), que los programadores de esta aplicación posiblemente copiaron y pegaron alguna app que hallaron y que luego modificaron, y ya posteriormente han corregido. Por ello, recomiendo a los desarrolladores que estén atentos en las aplicaciones que crean, ya que ese es un gran problema de muchas aplicaciones de grandes empresas e instituciones.

 

Peligro tipo NSA [Lorcha]:

– Espionaje de nuestras conversaciones.
– Estar en una reunión de negocios y alguien oír nuestros proyectos.
– Periodistas que ya instalaron la app tienen un parlante que los vigila.
– Los empresarios, familiares y público en general podrán ser fisgoneadas sus conversaciones.

 

Resumen:

El por qué puede tener muchas teorias. Desde un desarrollador que se fumó de la mala y dio permiso a todo, que hayan usado una app de muestra sin editar las opciones de privacidad o simplemente falta de ética. Que en un inicio hayan dado permisos absolutos a la aplicación es algo que se debería explicar por un tema de transparencia y tranquilidad, recordemos que vivimos en un ambiente de inseguridad, y si alguien un sistema con errores será una tentación como miel para los labios. Cabe señalar que los usuarios deben estar atentos a todas las aplicaciones que instalan, por muy intrascendentes que parezcan, un ejemplo es la linterna espía la ubicacion y datos del cliente y la famoso juego Angry Bird para que la NSA obtenga datos de usuarios. Anque también activaba el micrófono para espiar a las personas. Lamentablemente las Politicas de Privacidad de Tourism Police Peru son muy simples, solo informan algo similar a: “La alerta se obtiene la ubicación GPS del celular y el número teléfonico para realizar la llamada de emergencia”. Hasta el fin de este post sus politicas de privacidad stán con problemas de accesibilidad, pero aquí están estos documentos oficiales que indican lo mismo. En algún momento mostraré lo sencillo que es troyanizar una app. Seguiremos vigilantes a cualquier aplicacion ya sea de empresas, instituciones y similares.

aplicacion-boton-panico-mincetur-graba-microfono-peru-2_2

 

Soluciones:

Recomiendo unas aplicaciones para mitigar los permisos desdemidos de algunas apps:

Permission Explorer: permite ver como las aplicaciones instaladas pueden acceder a nuestro sistema. Podremos ver y filtrar las aplicaciones del modo en que estas accedan al sistema, nos da una lista completa de las aplicaciones que acceden al GPS, las aplicaciones que acceden a nuestra lista de contactos y otros servicios y características.

Privacy Blocker: Permite revisar aplicación por aplicación los permisos que esta solicita y analizarlos para comprobar aquellas que pueden considerarse una amenaza.

Privacy Inspector: Escanea tu celular para comprobar los posibles fallos de seguridad de nuestras aplicaciones

 

Datos:

¿Qué representa cada permiso que aceptamos al instalar una aplicación?
Cuando las aplicaciones piden más de la que necesitan

 

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona, los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Plus Size Women Skirt Styles
porn retaining his signature panama hat

How to Stay Safe when Online Dating
porno led headband

Cracked tries its hand at fashion
porno how to put on attractive jewelry fashion this approach spg

Minju Kim collection now available at H stores
black porn most of which work in or are connected to the fashion industry

Casual yet Elegant Hermes Lindy
hd porn such as the seven day pass

India’s Fashion Trends Through the Ages
free porn sites We suggest the guillotine

Determinants Of A Rewarding Fashion Buyer Salary
milf porn Use them as inspiration for your little one spring wardrobe

New York Early Childhood Education
xvideos moet hennessy louis vuittattached to lvmhf during q2 2014 overall results

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.