Expertos revelan graves vulnerabilidades en aplicaciones de Stalkerware
Las aplicaciones de stalkerware de Android que son utilizadas para rastrear secretamente los movimientos de las personas y las actividades digitales no son seguras. Estas aplicaciones están plagadas de errores de seguridad que ponen a las víctimas incluso en peligro.
Una aplicación de Stalkerware permite rastrear la ubicación GPS del dispositivo de una víctima, grabar conversaciones, capturar imágenes y husmear en los historiales del navegador. Y, en general, las aplicaciones acceden, recopilan, almacenan y transmiten más información que cualquier otra aplicación que hayan instalado las víctimas.
“Durante nuestra investigación, identificamos que algunos stalkerware mantienen información sobre los acosadores que usan la aplicación. Además, recopilan datos de sus víctimas en un servidor, incluso después de que los acosadores solicitaron la eliminación de los datos”.
Lukas Stefanko – ESET
Si bien las aplicaciones almacenan y transmiten todos esos datos, desafortunadamente a menudo lo hacen sin la protección de datos adecuada, según ESET. En el estudio, los investigadores de la empresa encontraron más de 150 problemas de seguridad en 58 aplicaciones de stalkerware de Android.
“Este análisis identificó muchos problemas serios de seguridad y privacidad que podrían resultar en que un atacante [aparte del acosador] tomara el control del dispositivo de la víctima. Este también pudiese hacerse cargo de la cuenta del acosador, interceptar datos de la víctima e incriminar a la víctima cargando pruebas falsas. El atacante podría lograr un control remoto de ejecución de código en el teléfono inteligente de la víctima”.
Vulnerabilidades
Algunas de las vulnerabilidades más comunes que encontraron los investigadores son las siguientes:
ESET reportó las vulnerabilidades a los proveedores afectados, pero solo seis decidieron abordar las mismas. Cuarenta y cuatro nunca respondieron, siete prometieron parchear en una próxima actualización y uno decidió activamente no solucionar los problemas informados.
El problema más común que identificaron los investigadores fue la transmisión insegura de información de identificación personal (PII) de la víctima y el acosador. Esta vulnerabilidad se encuentra en 22 de las aplicaciones de stalkerware analizadas.
La información confidencial de la víctima y/o acosador se envía desde los dispositivos de la víctima a los servidores de stalkerware a través de HTTP. Es decir, sin cifrado y ninguna protección.
Datos expuestos
Un atacante en la misma red podría interceptar el tráfico de la red y robar o cambiar los datos enviados. Debido a eso, sería posible obtener credenciales de administrador, todos los datos cargados como mensajes de texto, registro de llamadas y lista de contactos. Además, registros de pulsaciones de teclas, historial de navegación, llamadas telefónicas grabadas, imágenes y capturas de pantalla.
Como resultado, el atacante podría apoderarse de la cuenta del acosador, acceder a la información privada de la víctima y desencadenar la ejecución remota de código.
Otro problema generalizado, que se encuentra en 17 de las aplicaciones, involucra a los servidores que exponen los datos del usuario almacenados en ellos. Estos exponen la información ya sea a través de listas de directorios abiertos o nombres predecibles.
“Un atacante podría acceder a lo que parecen ser llamadas grabadas, fotos, direcciones de correo electrónico, registros de IP, números IMEI y números de teléfono. Asimismo, podría acceder a nombres de usuario, direcciones, registros de llamadas, mensajes de texto, mensajes de Facebook y WhatsApp, ubicaciones de GPS. El atacante podría acceder incluso a código fuente y copias de seguridad y otros datos sin ninguna autenticación”, según ESET.
Stalkerware en aumento
Desafortunadamente, el grupo de personas afectadas por esta situación se está ampliando. Según las estadísticas de ESET, hubo casi cinco veces más detecciones de stalkerware de Android en 2019 que en 2018. Y, en 2020 hubo un 48% más que en 2019. Una investigación anterior de Kaspersky reveló que los volúmenes están aumentando.
Aunque Google prohibió las aplicaciones de stalkerware de Google Play el año pasado, muchas aplicaciones superan esa barrera pretendiendo ser una utilidad legítima. Estas aplicaciones se ofrecen como aplicaciones antirrobo o herramientas para monitorear empleados o niños. Algunas incluso afirman ser aplicaciones de seguridad para mujeres.
En los mercados de terceros, este tipo de aplicaciones son fáciles de encontrar, dijo Stefanko. “La palabra ‘espía’ se usa muchas veces en sus sitios web”, explicó. La búsqueda de estas herramientas en línea no es nada difícil; no es necesario que navegues por sitios web clandestinos.
Cuando se trata de la instalación, las aplicaciones no se envían de la misma manera que otros programas maliciosos. No se pueden enviar a través de un correo electrónico engañoso o instalar de alguna otra manera remota.
Generalmente, el acosador necesita tener acceso físico al dispositivo de la víctima para poder descargar el material deseado. Debido a esto, los acosadores suelen ser personas de la familia cercana, círculos sociales o círculos laborales de las víctimas.
