Tynichat for iOS envía el usuario y la password en Clear Text ¿Debe permitir App estos bugs en App Store?

Tinychat es una aplicación de chat de video la cual permite conectarse a diferentes grupos y chatear en línea, pudiendo crear salas propias dónde "juntarse" la gente que conoces o con la que has ido cogiendo confianza. Actualmente, esta aplicación está situada entre las 200 aplicaciones más utilizadas en la categoría de redes sociales de la AppStore. La gente de Tinychat indica que es utilizada durante 5 millones de minutos al día, por lo que es una de las comunidades de voz y chat de vídeo más grandes de Internet. 

¿Cómo se loguea un usuario? El usuario debe indicar la dirección de correo electrónico y una contraseña para crearse una cuenta. Otra opción que se da al usuario es utilizar su cuenta de Facebook o Twitter para loguearse. La primera vulnerabilidad que presenta la aplicación es el envío en texto plano del usuario y contraseña, lo cual podemos denominar information leakage flaw. Si un atacante puede sniffar el tráfico de tu red puede comprometer tu cuenta. Por ejemplo, muchos usuarios se conectan a redes inseguras de centros comerciales, restaurantes, hoteles, etcétera, por lo que sería muy sencillo poder robar esta información. En la imagen se puede ver un intento de login y como se puede capturar las credenciales en texto plano. La pregunta es: ¿Debería App Store permitir este tipo de apps en el market?

Figura 1: Captura de usuario y contraseña

De manera similar, cuando un usuario intenta registrar una cuenta de Tynichat, la petición HTTP generada muestra en plano el usuario, contraseña y e-mail del usuario en texto plano. Esto de nuevo pone el peligro la confidencialidad de la cuenta del usuario. Es un ejemplo, similar al del inicio de sesión. Quizá el primer ejemplo es más grave por la exposición de contraseñas, que es realizada de manera constante, frente a una única petición en la acción de registro. Sea como sea, ambas son debilidades que deberían tomarse en cuenta por los desarrolladores de software. La inclusión de un 2FA como Latch sería algo de vital importancia para reducir el riesgo de robo de identidad digital. Haciendo un análisis con la herramienta ZAP, Zscaler Application Profiler, la cual permite realizar un análisis de vulnerabilidades y privacidad de aplicaciones móviles se puede ver lo siguiente:

Figura 2: Resumen ejecución de Tynichat en ZAP

La conclusión que nos queda es que debemos diseñar las aplicaciones con todas las medidas de seguridad que conozcamos y que debemos utilizar herramientas como ZAP para asegurarnos de que las buenas prácticas en seguridad están implementadas. El resultado en privacidad de la aplciación es muy negativo para la imagen de la app, posiblemente pronto veamos alguna mejora en lo que a privacidad se refiere en esta aplicación.