Detectan serias vulnerabilidades en aplicación chilena SoSafe

Detectan serias vulnerabilidades en aplicación chilena SoSafe

Pueden obtener datos personales e incluso dirección de los denunciantes.

SoSafe es una aplicación móvil de seguridad vecinal. Se trata de un software chileno que permite reportar situaciones de seguridad o de interés comunitario entre vecinos e instituciones públicas. El problema, es que según lo demostrado por expertos de Dreamlab Technologies, es altamente vulnerable al robo de información.

La aplicación de seguridad ciudadana consigna en su sitio que tienen “más de 5 millones de personas protegidas”, y han tenido una considerable tribuna desde su lanzamiento. Nació el 2014 como una suerte de botón de pánico para delitos y activar de forma eficiente equipos de seguridad, tras una asociación entre varios organismos públicos. Así lo mencionan en su sitio:

Puedes proteger tu vecindario conectándote con vecinos y familiares para protegerse ante situaciones de emergencia como robos, asaltos, actividad sospechosa, problemas de salud, entre otras. Tus reportes los reciben los vecinos del sector de donde estás reportando. También notificamos a los servicios e instituciones competentes que puedan atenderlos en ese lugar.

Altamente vulnerable

Los expertos de la firma de seguridad, mencionaron que, aunque la seguridad de las aplicaciones móviles es transversalmente deficiente, existen grados de criticidad. En caso de que el fallo sea serio, existe riesgo de que se exponga información confidencial o atacar los mismos dispositivos.

El análisis de DreamLab, emitido en un informe firmado por Gabriel Bergel (ingeniero de DreamLab), encontró que la información que presentaban los usuarios, como nombre, apellido, correo electrónico y ubicación exacta de la persona a través del GPS, podía ser vista por externos, representando un alto riesgo. Así lo mencionan:

Haciendo análisis del tráfico de la app se pudo detectar que la comunicación se realiza en texto claro mediante el protocolo HTTP y no HTTPS (cifrado), sin embargo, algunos de los datos si van cifrados en la capa aplicativa, pero se puede conocer la llave.

En el ingreso a la app en el login o ingreso, debido a que los datos se envían sin cifrar, se puede observar que el ingreso se realiza utilizando como único factor de autenticación la combinación de correo electrónico + identificador generado por la app al endpoint (smartphone del usuario). Esto permite a una persona mal intencionada posicionada entre la app y el usuario como “hombre en el medio o MiTM” obtener dichos datos e impersonar al usuario.

El informe continua diciendo que se pueden obtener datos personales privados como nombres, email y ubicación exacta, aunque el reporte haya sido anónimo. También se puede cambiar de manera no autorizada los datos del usuario (nombre, dirección, email, etc.) y escribir un reporte/incidente a nombre de otro. Gabriel Bergel, concluyó de esta forma:

Al día de hoy los permisos excesivos y vulnerabilidades se mantienen en la app. Por lo tanto, se da la paradoja de que la app más popular de Chile, que se ha convertido en un gran servicio municipal y que al día de hoy es la batiseñal digital contra la delincuencia, sea insegura y exponga datos personales de sus usuarios, incumpliendo lo dispuesto en la ley 19628 sobre protección y almacenamiento de datos personales.

Según DreamLab, las vulnerabilidades fueron reportadas confidencialmente hace más de 90 días al equipo del Centro de Respuestas a Incidentes de Seguridad (CSIRT) del Ministerio del Interior, aunque desde SoSafe han mencionado que ellos jamás fueron notificados oportunamente.