Las aplicaciones de Android con más de 85 millones de instalaciones espían a los padres que las usan para rastrear a sus hijos, y algunas incluso contienen enlaces a sitios maliciosos. Los expertos creen que no es del todo seguro exponer los datos de los niños a proveedores externos.
La preocupación de los padres por la seguridad de sus hijos se ha traducido en vigilancia en la era digital. Una encuesta de 2021 mostró que la mitad de los padres en los EE. UU. Usan aplicaciones de control parental, mientras que otra realizada en el Reino Unido encontró que al menos el 40% usa el rastreo GPS en sus hijos.
Una nueva investigación del equipo de Cybernews muestra que rastrear a sus hijos puede ser un arma de doble filo: mientras los padres lo hacen digitalmente, las aplicaciones aprovechan la oportunidad para recopilar sus datos. Además, las mismas aplicaciones que deberían brindar seguridad no siempre cumplen con los más altos estándares de seguridad.
Los investigadores encontraron que cuatro de cada 10 aplicaciones populares contienen enlaces considerados maliciosos por algunos proveedores de seguridad, y ninguna aplicación de Android que revisó nuestro equipo recibió la calificación más alta en privacidad.
Según Jason Glassberg, cofundador de Casaba Security, una empresa de ciberseguridad y piratería ética, las aplicaciones de seguimiento no solo violan la privacidad de los niños, sino que también pueden exponer la información de los niños a espectadores no autorizados.
“Eso es esencialmente una puerta trasera en el teléfono de su hijo, que como mínimo recopilará una gran cantidad de datos sobre ellos y, en el peor de los casos, podría estar haciendo cosas mucho más maliciosas”, dijo Glassberg a Cybernews.
millones de usuarios
El equipo analizó 10 aplicaciones de Android disponibles en la tienda Google Play, diseñadas para rastrear a niños o familiares. Debido a las limitaciones de las métricas de Google, es imposible decir la cantidad exacta de instalaciones de aplicaciones acumuladas.
Sin embargo, los datos de código abierto muestran que las aplicaciones de seguimiento de niños cubiertas en esta investigación se han instalado más de 85 millones de veces. Aunque el número exacto puede variar, es seguro decir que decenas de millones de personas han descargado estas aplicaciones.
Cada una de las aplicaciones revisadas se instaló más de un millón de veces, y la más popular cuenta con más de 50 millones de instalaciones.
El equipo utilizó Mobile Security Framework (MobSF), una herramienta común de análisis de seguridad de aplicaciones de código abierto, para evaluar la seguridad y la privacidad de las aplicaciones de seguimiento seleccionadas.
En cuanto a la seguridad, la puntuación varía de cero a 100, siendo este último el resultado más deseado. El grado de privacidad dentro del marco MobSF se basa en letras y va de la A a la F, donde A indica el grado más deseable.
Grado más bajo
Siete aplicaciones de cada 10 recibieron una B por privacidad y dos recibieron una C. Una aplicación con más de 50 millones de instalaciones, Phone Tracker By Number (6.28), recibió la calificación más baja, lo que indica un “riesgo crítico”.
La aplicación peor calificada, que ocupa el puesto 47 entre las principales aplicaciones gratuitas en la categoría social en los EE. UU., demostró enfoques de seguridad cuestionables, como mantener abiertos los intentos de Android. Es decir, la aplicación comparte receptores de transmisión, componentes de Android que permiten que una aplicación responda a mensajes transmitidos por el sistema operativo (SO) u otra aplicación.
Compartir Broadcast Receivers con otras aplicaciones significa que Phone Tracker By Number puede ser accedido por otras aplicaciones no especificadas en el dispositivo, dejando mucho espacio para que los actores de amenazas puedan maniobrar. En teoría, una aplicación maliciosa en el dispositivo podría acceder a los datos de la aplicación de seguimiento y permitir que el actor de amenazas sepa la ubicación de un niño que un padre está rastreando.
El equipo ha conjeturado que debido a una implementación insegura del manejo de certificados de Capa de sockets seguros (SSL), la aplicación es vulnerable a los ataques de intermediarios (MITM). Estas intrusiones aparecen cuando los atacantes se interponen entre el emisor y el receptor de datos. Por ejemplo, los desarrolladores de Phone Tracker By Number o los actores de amenazas podrían, en teoría, espiar el tráfico que fluye a través de la aplicación.
Localizador familiar: rastreador GPS y aplicación Find Your Phone (5.29.2) (más de 10 millones de instalaciones), rastreador GPS familiar KidsControl (k5.3.6) (más de 1 millón) y FamiSafe: aplicación de control parental (5.7.0.204) (más de 1 millón ) también se consideraron vulnerables a los ataques MITM.
Según Karim Hijazi, director ejecutivo de la empresa de ciberinteligencia Prevailion y exdirector de inteligencia de Mandiant, es posible que las organizaciones detrás de aplicaciones de seguimiento independientes no tengan programas de desarrollo de software sólidos para garantizar que el código sea seguro. Para reducir costos, las empresas utilizan código de terceros de bibliotecas de código abierto o funciones específicas creadas por otros desarrolladores.
“Es como hacer salchichas baratas y no sabes qué tipo de ingredientes contiene. El problema para el usuario final es que realmente no sabes todo lo que hay en la aplicación o cuántas partes diferentes están recibiendo”. esta información”, dijo Hijazi a Cybernews.
Externalización de los datos del niño
En un giro de ironía, todas las aplicaciones analizadas tenían rastreadores de terceros incluidos en las aplicaciones destinadas a rastrear a los niños. Eso significa que ambas partes, padres e hijos por igual, tienen sus datos recopilados. No es una sorpresa, dado que la violación de la privacidad es el objetivo principal de la aplicación.
Una aplicación podría usar fácilmente esos datos con fines maliciosos si la empresa que la respalda no es honesta, piensa Chris Hadnagy, director ejecutivo de una empresa de seguridad cibernética, Social-Engineer.
“Si el niño envía una foto inapropiada o confidencial, esa aplicación puede tener acceso a ella. Todo lo que se haya compartido con la aplicación, como cuentas, contraseñas, información personal, puede quedar expuesto si la aplicación alguna vez se viola”, Hadnagy. le dijo a Cibernoticias.
Según Hijazi, las empresas detrás de las aplicaciones de seguimiento recopilan datos específicos para rastrear a la persona que tiene la aplicación instalada. Los terceros pueden encontrar esa información útil para varios propósitos, desde publicidad dirigida hasta monitoreo.
“Una vez que comience a trazar todas las diferentes entidades que terminan comprando y revendiendo esta información de la compañía de la aplicación original y sus componentes de terceros, encontrará que hay un ecosistema enorme incluso para una aplicación pequeña. Eso es algo que los usuarios, y especialmente los padres, deben preocuparse”, dijo Hijazi.
“Es como hacer salchichas baratas, y no sabes qué tipo de ingredientes van a llevar”.
Karim Hijazi, CEO de la compañía de inteligencia cibernética Prevailion, dijo a Cybernews.
Se descubrieron nueve rastreadores en dos aplicaciones: Find my kids: rastreador de ubicación (1.9.5) (más de 10 millones) y Family Locator – GPS Tracker & Find Your Phone App (5.29.2). Otros dos, MMGuardian App For Child Phone (3.10.26) (más de 1 millón) y Find my Phone. Family GPS Locator de Familo (2.70.6) (más de 1 millón), tenía ocho rastreadores. Dos más, el localizador My Family, el rastreador GPS (más de 5 millones) y FamiSafe: aplicación de control parental (5.7.0.204), tenían siete rastreadores.
Phone Tracker by Number (6.2.8) tenía seis rastreadores, MMGuardian Parent App (3.6.77) (1 millón +) tenía cinco, Pingo by Findmykids (2.4.83) (5 millones +) tenía tres, y solo dos rastreadores fueron presente en el rastreador GPS familiar KidsControl (k5.3.6).
Los nombres de las aplicaciones pueden estar sujetos a cambios frecuentes por parte de los desarrolladores en la tienda Google Play, y estos fueron los correctos descubiertos por el equipo de Cybernews en el momento de escribir este artículo.
seguridad laxa
Mirando dentro de las entrañas de las aplicaciones de seguimiento populares, el equipo descubrió que todas ellas almacenan claves de interfaz de programación de aplicaciones (API) codificadas. Por lo general, las claves API se utilizan con fines de autenticación, para permitir que las aplicaciones reconozcan a usuarios individuales y viceversa. El almacenamiento de claves API puede generar problemas de seguridad si un actor de amenazas encuentra una forma de acceder a ellas.
Encuentra mi teléfono. Family GPS Locator de Familo tenía la mayor cantidad: cuatro claves API codificadas en la aplicación. Cuatro aplicaciones tenían tres cada una, mientras que las dos restantes tenían un par cada una.
La mayoría de las claves API codificadas estaban destinadas a proteger los datos de la aplicación, información que no es demasiado sensible o útil para los actores de amenazas. Sin embargo, el equipo señaló que algunas claves API codificadas podrían ser responsables de proteger los datos del usuario.
Por ejemplo, Phone Tracker by Number tenía un token de “Cliente de kit de cuenta” codificado. La pérdida de esta “clave maestra” para un actor de amenazas podría provocar la pérdida de datos confidenciales del usuario. Encuentra mi teléfono. Family GPS Locator de Familo también tenía una clave API potencialmente sensible.
De manera preocupante, el equipo descubrió que cuatro de cada 10 aplicaciones revisadas contienen enlaces considerados maliciosos por algunos proveedores de seguridad. Si bien eso no significa que la aplicación esté infectada con malware, los enlaces dentro de la aplicación pueden llevar a los usuarios a sitios web con malware.
Por ejemplo, FamiSafe: Aplicación de control parental (5.7.0.204) contenía dos enlaces que algunos proveedores de seguridad consideraron. Al mismo tiempo, Phone Tracker by Number (6.28), Find my kids: location tracker (1.9.5), Family GPS tracker KidsControl (k5.3.6) tenían un enlace potencialmente malicioso cada uno.
¿Vale la pena?
Mientras los humanos estén detrás de la creación de aplicaciones de seguimiento, no hay forma de garantizar la seguridad absoluta. Al final del día, los padres tienen que decidir si instalar una aplicación potencialmente dañina en el teléfono de sus hijos vale la pena por la sensación de seguridad que supuestamente proporciona.
Los expertos con los que hemos discutido el tema tenían opiniones divergentes al respecto. Por ejemplo, Hadnagy dijo que rastrear niños puede ser una solución cibersegura. Sin embargo, los padres deberían dedicar algún tiempo a investigar lo que están descargando.
“Como mínimo, recomendaría que los padres investiguen en línea sobre estas aplicaciones. Es fácil buscar en Google para ver si hay otras revisiones del software y la experiencia del usuario con la aplicación”, explicó Hadnagy.
Mientras tanto, Glassberg dijo que los padres no deberían usar aplicaciones de seguimiento, ya que hacerlo viola el vínculo de confianza entre ellos y sus hijos. En cambio, enfatizó la necesidad de enseñar a los niños cómo reconocer la preparación en línea y mantenerse alejados de los sitios web peligrosos.
Según Hijazi, los beneficios de usar aplicaciones de rastreo de niños apenas superan los peligros. Aunque las leyes de protección de datos estipulan lo que los recopiladores de datos pueden y no pueden hacer con ellos, no hay forma de saber realmente cómo los desarrolladores de aplicaciones usan los datos recopilados o cómo se utilizarán en el futuro.
“Al instalar este tipo de aplicación en el teléfono del niño, esencialmente ha incrustado un troyano totalmente capaz en sus dispositivos más personales, que, además de tener acceso a su actividad de navegación, comunicaciones, amigos, etc., también puede rastrear su ubicación en tiempo real”, dijo Hijazi.
FUENTE: CBNEWS
About Author
