Desde la empresa FireEye se advierte de la existencia de un fallo de seguridad en la app para dispositivos móviles Android “Camera360 Ultimate”. Esta app se utiliza para editar fotografías en el móvil.
Recursos afectados
El fallo de seguridad afectaría a todas las versiones de la app: la actual 6.2. y las anteriores 6.1., 6.1.2 y 6.1.1.
Solución
El fallo de seguridad en la Camera360 todavía no ha sido resuelto. Hasta que se publique una actualización de la app que solucione el problema, las recomendaciones que se deben seguir son las siguientes:
- No hacer uso de la aplicación. Desinstalarla del dispositivo si ya no la estaba utilizando.
- Si se desea continuar utilizando, cosa que no se recomienda hasta que se solucione el problema, no almacenar en su nube (servicio cloud) imágenes de ningún tipo, pero especialmente aquellas que pudieran poner en riesgo la privacidad.
- Como norma general, no conectarse a aplicaciones móviles a través de una red wifi que no esté correctamente protegida o sea pública.
Por otra parte, teniendo en cuenta las nuevas tendencias utilizadas por los ciberdelincuentes para tratar de engañar a los usuarios para que descarguen aplicaciones maliciosas, es importante considerar los siguientes aspectos a la hora de instalar aplicaciones desde el Market de Android:
- Observar la procedencia de la aplicación. El nombre de desarrolladores de aplicaciones populares es un buen indicador para comprobar la legitimidad de la aplicación.
- Comprobar la puntuación (rating), así como los comentarios de los usuarios, es otra fuente de información con la que podremos conocer las experiencias de los usuarios a la hora de instalar y usar la aplicación.
- Investigar otras fuentes de información independientes al Market de Android es también recomendable si dudamos de la legitimidad de la aplicación.
Detalles
La app tiene un servicio gratuito de almacenamiento en la nube que el usuario puede utilizar para almacenar en álbumes las imágenes que se ha editado y trabajado con “Camera360 Ultimate”, por ejemplo, poniéndoles un filtro a las fotos o cambiándoles el color o la textura.
El fallo reside en que cuando el usuario accede a su álbum de “Camera 360” en la nube, su móvil no se comunica con ésta de forma segura (encriptada, HTTPS) sino que los datos de autenticación del usuario (su contraseña) viajan de forma desprotegida desde el móvil hasta la nube (HTTP).
Esta desprotección de la contraseña, cuando es enviada (no encriptada) desde el móvil a la nube cuando el usuario quiere entrar (autenticarse) en su álbum privado de imágenes en la nube de “Camera 360”, hace que cualquier ciberdelincuente pueda utilizar herramientas para robar esa contraseña, accediendo por tanto a todo el repertorio de imágenes privadas que el usuario tenga en su álbum.
