Tener un móvil no significa mucho problema, y cuando están bloqueados, no nos preocupamos de lo que está pasando en segundo plano. Aunque hay otros que les gustaría descubrir que sucede en el teléfono.
La mayoría de los teléfonos móviles envían datos sin cifrar mediante aplicaciones. Pero en algunas ocasiones lo hacen de manera insegura. Además, usan HTTP (Protocolo de transferencia de hipertexto) no encriptadas, en lugar de HTTPS (Protocolo seguro de transferencia de hipertexto).
Para saber si un móvil está enviando datos sin cifrar, hay que hacerle un análisis de red en las aplicaciones populares de Android que tengamos descargadas.
Y por esta razón, nosotros te vamos a decir que debes hacer para averiguar que hace tu móvil mientras lo mantienes bloqueado. ¿Tienes curiosidad por saber que ocurre?
¿Tus aplicaciones Android están enviando datos sin cifrar? Compruébalo
Lo primero que tenemos que hacer es seguir la guía de pruebas de seguridad móvil de OWASP para ver los gráficos de las aplicaciones. Luego de ello, tenemos que ver los gráficos de las aplicaciones más populares de la Google Play. Y debemos seleccionar una al azar para instalarla y luego debemos supervisar el tráfico.
Hay aplicaciones que comparten datos sin cifrar, direcciones de correo electrónico. También tokens de autenticación en texto sin formato, códigos postales, versión de Android, carga de la batería y hasta huellas digitales.
Nos sorprendió lo fácil que puede llegar a ser, descubrir errores básicos de seguridad que tienen las aplicaciones en Google Play.
Pasos para saber cómo hacen las aplicaciones para enviar datos sin cifrar
Para ordenadores
Hay una configuración básica que puedes hacer en tu PC, para ver que aplicaciones usan HTTP en lugar de HTTPS. Eso sí, no detectará exactamente todo lo que hacen, pero si te darán buena información.
- Tienes que instalar Fiddler en cualquier PC Windows que tenga la misma red WiFi que use tu móvil. Para toda aquella persona que no sepa lo que hace Filddler, es una proxy de depuración web que nos permite capturar y ver el tráfico que entra y sale de nuestro smartphone. Aunque existen otras alternativas como BURP Suite y Charles.
- Una vez instalado tienes que abrirlo para buscar Herramientas -> Opciones -> Conexiones. Allí aparecerá en que puerto está establecido Fiddler (por defecto es el 8888). En el caso de que desees usar uno diferente, puedes cambiarlo pero debes anotarlo porque lo usaremos más adelante.
- Ahora debemos averiguar qué dirección IP tiene nuestro PC Windows. Para hacerlo debemos abrir un símbolo del sistema y escribimos “ipconfig”. Allí aparecerá como dirección IPv4, y por razones obvias tu PC y tu Android deben estar en la misma red WiFi.
Para el teléfono móvil Android
Después de que hayamos hecho la configuración de Fiddler en Windows, necesitamos que el dispositivo Android lo use como un proxy para que enrute el tráfico a través de él.
Para ello, tienes que hacer los siguientes pasos:
- Tienes que abrir la Configuración -> Configuración Inalámbrica y tienes que seleccionar la red WiFi en la que está la PC.
- Ahora tendrás que seleccionar la Configuración avanzada -> Tienes que cambiar la configuración de proxy de ninguno a manual.
Una vez hecho, tendrás que establecer el nombre del hots proxy en la dirección IP de tu PC Windows. Es decir, tendrás que configurar el puerto proxy en el mismo puerto en el que está el Fiddler. Así podrá capturar el tráfico de nuestro dispositivo. ¿Recuerda el código que debías anotar?
Análisis de los datos que envían las aplicaciones
Después de haber hecho todos los pasos correctamente, verás que Fiddler está configurado como un MitM (Man-in-the-Middle). Lo que tenemos que hacer es abrir nuestras aplicaciones y ver el tráfico que pasa a través del Fiddler, allí veremos si usan HTTP.
En el análisis de las aplicaciones, tienes que estar pendiente de las imágenes, ya que algunas aplicaciones cifran todo su tráfico en ellas.
También debes tener en cuenta los Datos JSON, hay aplicaciones que envían archivos JSOM (estructura de texto plano). Estos archivos tenían el nombre de usuarios, dirección de correo electrónica y detalles de autenticación.
Por otra parte, tienes que estar pendiente de las URL ya que en ellas puede ir tu información. Descubrimos que en ocasiones está la versión de Android, marca, modelo de móvil, código postal, coordenadas geográficas y hasta la carga de la batería.
Una recomendación para todos aquellos desarrolladores es que traten de implementar SSL/TLS en sus aplicaciones. Estos son protocolos criptográficos que nos proporcionan comunicaciones en la red de manera segura.
Además, ten en cuenta que actualmente hay muchos hackers que tratan de robarnos información de cualquier manera. Y la seguridad es una tarea que todos deberíamos plantearnos, ya que confiamos en muchos desarrolladores y empresas para tener nuestra información protegida.
Y es por esa razón que nos sorprendemos al descubrir que aplicaciones comunes que usamos en nuestro día a día como Instagram, Facebook, Snapchat, Messenger y hasta WhatsApp, envían toda nuestra información a través de muchos medios.
Lo importante de este post, es que el usuario sepa que su información puede ser compartida, y pueda saber que tipo de información están enviando las aplicaciones que tiene en su móvil.
Claro, también lo hacemos para que tomes precauciones al compartir información en cualquier app que descargues en la Google Play. ¿Sabías que tu teléfono puede enviar datos sin cifrar por las aplicaciones?