26 de agosto de 2014

SECRET . Fallo de seguridad permitía identificar a los usuarios

Con el caso de espionaje a gran escala el intento de crear aplicaciones y servicios que garanticen la privacidad de los datos de los usuarios ha ido en aumento. El servicio de mensajería Secret surgió con la idea de garantizar el anonimato de los usuarios a la hora de enviar los mensajes, sin embargo, un fallo de seguridad estaba permitiendo identificar los creadores de estos mensajes.
Dos expertos en seguridad fueron los encargados de descubrir el fallo de seguridad y dar al traste con el anonimato del que presumía esta aplicación. LOs expertos han confirmado que no hizo falta hacer ningún tipo de “truco” ni utilizar ningún tipo de programa, confirmando que solo era necesario buscar en el código del mensaje enviado datos relacionados con el usuario que lo envió, siendo según estos cuestión de tiempo que se encontrase la información, es decir, el tiempo que se invirtiese en repasar dicho código.
Con esto quieren defender que a pesar de sostenerse que este tipo de aplicaciones son infalibles y que garantizan al 100% el anonimato y la privacidad del usuario, la realidad es que tarde o temprano siempre se encuentra alguna vulnerabilidad que afecte a la privacidad de los datos.
El fallo ya ha sido corregido
  • Al mismo tiempo que los expertos en seguridad publicaban el fallo de seguridad encontrado los responsables de la aplicación que se encuentra disponible en dispositivos iOS y Android eran informados sobre este. Desde la aplicación confirman que el fallo ya ha sido resuelto y que se trataba de un error en el lado de los servidores.
  • Aunque este tipo de aplicaciones nos intenten vender que existe un anonimato completo y que la privacidad se garantiza, al final de lo que no nos damos cuenta es que los datos deben estar en algún sitio y que si no son los dispositivos móviles de los usuarios siempre existe algún punto débil y que almacena información, quedando demostrado en esta ocasión que son los servidores los que guardan la información y que el fallo de seguridad se basaba en que estos no deberían haber enviado dicha información junto con los mensajes.
Fuente: Alt1040