Investigadores argentinos descubren vulnerabilidades en Facebook

Fueron encontradas por el equipo de Seguridad en TIC de la Fundación Sadosky. Los usuarios deberán actualizar la aplicación en los celulares para corregir las fallas.
 
Investigadores del Programa de Seguridad en TIC de la Fundación Sadosky del Ministerio de Ciencia, Tecnología e Innovación Productiva, descubrieron vulnerabilidades en aplicaciones de Facebook para el sistema operativo Android. Según el estudio, cualquier usuario de la misma red puede capturar video y grabaciones de audio privadas o utilizar remotamente el teléfono de un usuario de las aplicaciones de Facebook para navegar la Internet. Los problemas encontrados fueron identificados en el mes de mayo y Facebook ya ha publicado una actualización a sus aplicaciones que corrige todos los problemas de seguridad, estando disponible para el 100% de las personas. La falla podría haber afectado a un número estimado entre 500 y 1.000 millones de consumidores.
 
Según Iván Arce, director del Programa, “si bien no es un problema grave se podrían capturar videos o audios privados en dispositivos móviles por redes públicas, o alguien conectado a la misma red podría navegar a través de la aplicación usando el teléfono de otro usuario. Lo relevante son los millones de usuarios vulnerables ante una falla de este tipo”. Además agregó que “el uso de la telefonía celular en nuestro país es inmenso, una gran cantidad usa teléfonos inteligentes y más del 70% utiliza sistema operativo Android por lo que cualquier falla de seguridad tendría enorme impacto en nuestra población”. 
 
El proyecto “Marvin” del Programa de Seguridad en TIC de la Fundación se enfoca en determinar características de seguridad y protección de datos de las aplicaciones para teléfonos móviles de uso más frecuente o masivo. Al encontrar vulnerabilidades en las aplicaciones investigadas, se realiza un proceso de identificación, documentación y reporte de problemas de seguridad a los fabricantes del software o responsables de su seguridad, procedimiento que es conocido como “Vulnerability Disclosure”.  A partir de este procedimiento, se publican y difunden los resultados a fin de informar a la población potencialmente afectada, dándole a su vez recomendaciones para su protección o mitigación del riesgo. 
 
Al reconocer una vulnerabilidad, el equipo de la Fundación procede a intentar identificar al responsable o fabricante del software, notificándolo del problema, informándole la intensión de ayudar a su resolución y aclarándole que se publicará y difundirá el inconveniente y su potencial solución para protección de los usuarios. Asimismo la Fundación buscará acordar y coordinar con el responsable o fabricante la forma y tiempo necesarios para la resolución de la falla y, una vez resuelto el problema de seguridad o cumplido el plazo acordado con el fabricante para tal fin, publicar un reporte técnico.
 
Si bien Facebook solucionó rápidamente el problema señalado, puede suceder que el responsable no corrija los errores que ponen en peligro los datos de los usuarios.  Por este motivo la Fundación podría decidir  la publicación de la información de manera unilateral cuando: no se haya podido identificar al fabricante o responsable del software con problemas; cuando no se haya podido identificar al contacto del fabricante o responsable adecuado para reportarle problemas de seguridad o al encargado de que la resolución; se determine que el fabricante o responsable no tiene intención o capacidad para resolver el problema; la información sobre el problema se hiciera pública por algún tercero o se descubra que el problema ya está siendo explotado para cometer ilícitos. 
Tags:

Epifanio Blanco
1 agosto, 2014