Plist: Facebook y otras aplicaciones en móviles susceptibles al robo de contraseñas
Los teléfonos inteligentes o smartphones son cada vez más semejantes a una computadora tradicional. Dotados de hardware más sofisticado con mayor capacidad de cálculo, estos dispositivos permiten realizar una mayor cantidad de tareas como navegar por Internet a mayor velocidad, hacer trámites bancarios, revisar correo electrónico y usar redes sociales. Aunque esto pueda parecer a primera vista algo absolutamente positivo, su uso no está exento de riesgos inherentes a la tecnología inalámbrica como el robo o extravío del dispositivo, o en este caso, el almacenamiento de credenciales de acceso a distintas redes sociales sin ningún tipo de protección por parte de la aplicación.
En primer lugar, la aplicación móvil de Facebook tanto en su versión para Android como para iOS (iPhone) puede conllevar serios problemas para la seguridad y privacidad del usuario. La falla se origina debido a que esta almacena en un archivo denominado plist, información sensible de la cuenta de la persona como su nombre y contraseña de acceso sin ningún tipo de cifrado, es decir, en texto plano, legible para cualquiera. Esta situación se agrava aún más si se considera que este archivo plist es compartido con aplicaciones de terceros que requieren del acceso a esta red social como un software para compartir fotos.
Por lo mismo, es posible afirmar que esta vulnerabilidad de diseño facilita considerablemente que un atacante desarrolle aplicaciones maliciosas que se aprovechen de esta situación para acceder ilícitamente a las cuentas de las potenciales víctimas con tan sólo solicitar la información sin cifrar de plist. De acuerdo a Gareth Wright, quien descubrió esta falla, los datos permanecen por un período de 60 días luego que se ha solicitado el acceso a Facebook. Además, el experto afirma que el fichero plist tiene una fecha de caducidad establecida para el primero de enero del año 4001, siendo este mecanismo de protección absolutamente inútil.
Pese a que Facebook se comprometió a verificar el problema, la respuesta no ha dejado conforme a muchas personas debido a que la empresa afirma que este problema sólo se presentaría en equipos móviles modificados o iPhones que se le haya realizado un Jailbreak, sin embargo, la misma investigación de Wright plantea que este fallo sí se presenta en dispositivos sin modificar ya que es posible que un atacante desarrolle un código malicioso capaz de obtener el fichero plist en cuestión cuando el teléfono inteligente es conectado a la computadora para cargarlo o pasar información y no necesariamente a través de malware creado específicamente para la plataforma móvil.
En segundo lugar, la aplicación mobile de Dropbox, servicio que permite almacenar en la nube distintos archivos, también es susceptible a este problema pero sólo en iOS. La empresa se comprometió a solucionar el problema lo antes posible sin importar la modificación del smartphone. En tercer y último lugar, LinkedIn para la misma plataforma, también presenta este error de diseño, permitiendo teóricamente que un código malicioso sea diseñado para cumplir este objetivo cuando el dispositivo es conectado a la computadora.
Como forma de prevenir este problema, es importante establecer un código de protección de más de cuatro dígitos. De este modo, esta vulnerabilidad de diseño queda sin efecto siempre y cuando el smartphone no haya sido conectado previamente a una computadora infectada con la opción de passcode desactivada y la misma no sea ingresada. La idea es mantener el dispositivo bloqueado en PCs desconocidas y sólo utilizarlas para cargar la batería. En Android y teléfonos inteligentes en general, recomendamos seguir la misma política de bloqueo por contraseñas de más de cuatro dígitos con el fin de prevenir no sólo este sino también otros problemas de seguridad como que un tercero pueda acceder a la información almacenada si el dispositivo es extraviado. Por otra parte mencionar que ESET Mobile Security agrega una barrera más de protección a este problema al permitir la remoción remota de la información del equipo móvil en caso que este se pierda.
André Goujon
Especialista de Awareness & Research