Normalmente cuando hablamos de privacidad solemos decir que un terminal identifica, por regla general, a una persona, ya que la rotación de dispositivos o el uso compartido de terminales suele ser un número muy reducido. Sin embargo, hay que tener presente que una persona puede vender su iPhone o su iPod antiguo para comprarse uno nuevo más moderno, de más capacidad o de distinto color, por lo que aunque por regla general pueda identificar a una persona, no siempre va a identificar a la misma persona.
Las redes de contactos gay Grindr y la red de contactos hetero Blendr se han visto afectadas de "robo" de perfiles, por un fallo al identificar a los usuarios. Dichas aplicaciones han utilizado como manera de autenticar a los dueños de los perfiles un hash derivado del UDID, es decir, el identificador único de un terminal. Esto hace que si una persona vende, pierde o regala un iPhone y otro usuario tiene estas aplicaciones instaladas, podrá llegar a tener acceso a los perfiles de los dueños originales del terminal.
Figura 1: Aplicación Grindr |
Grindr ya se vio afectada por una vulnerabilidad similar que llevó a que se robaran 100.000 perfiles de la red, lo que terminó en una carta de congresistas de los EEUU pidiendo explicaciones a la compañía, que fueron respondidas por su CEO.
Lo peor de este sistema de autenticación es que es muy difícil de detectar cuántas aplicaciones hacen algo similar, por lo que si el UDID es usado para autenticarse, no vale con borrar los datos del terminal para poder deshacerte de él, y habrá que aplicar medidas más expeditivas. En cualquier caso, queda claro que un mal diseño de seguridad puede hacer la vida más difícil a los usuarios y la auditoría de aplicaciones móviles debería ser obligatoria.
No hay comentarios:
Publicar un comentario