Uno de los aspectos que hacen que los smartphones sean tan atractivos son las aplicaciones. Muchos de los servicios web más conocidos o bien tienen su origen en una aplicación móvil o, para ampliar horizontes, se han trasladado al sector del smartphone en forma de aplicación. Sin embargo, esta explosión de aplicaciones, con un catálogo en constante crecimiento, puede provocar que se produzcan algunos descuidos en el desarrollo de las aplicaciones que pueda poner en riesgo la privacidad de los usuarios.
Según el Wall Street Journal, la empresa de seguridad ViaForensics habría encontrado graves fallos de seguridad en algunas de las aplicaciones más extendidas como LinkedIn, Netflix o Foursquare.
Estos fallos, que llegan al nivel de almacenar los datos personales de los usuarios sin cifrar en el terminal, se darían en las aplicaciones de LinkedIn, Netflix y Foursquare para Android que almacenarían el par usaurio-contraseña en el terminal sin cifrarlo. Esta práctica, lógicamente, vulnera uno de los principios básicos en el campo de la seguridad, almacenar las contraseñas en texto plano y, según ViaForensics, podría considerarse un error grave que sólo podría cometer “un novato”. La compañía también ha encontrado un fallo similar en la versión de Square, la aplicación de pagos móviles, para iOS (que almacenaría sin cifrar el historial de transacciones y la última firma realizada).
Está claro que para poder obtener estos datos, alguien tendría que tener acceso al terminal móvil, pero no es descabellado pensar que alguien se lo deje olvidado en un tren, un avión o un restaurante; de hecho, por desgracia, sigue siendo habitual que los usuarios no protejan sus terminales con contraseñas, dejando aún más expuestos los datos de sus smartphones. El responsable de la investigación de ViaForensics, Andrew Hoog, lo tiene claro:
Esos datos no deberían almacenarse en los teléfonos y, en caso de hacerlo, deberían cifrarse. […] Parece que la seguridad no es una prioridad de los desarrolladores de aplicaciones.
Los afectados, tras conocer este informe, han realizado algunos comentarios al respecto. Square, la compañía de pagos, ha comentado que su aplicación almacena el identificador de usuario y los cuatro últimos dígitos de la tarjeta de crédito pero que siguen los estándares vigentes del PCI Security Standards Council, una entidad fundada, entre otros, por Visa y American Express. Sobre la última firma realizada, Square declinó realizar comentario alguno. Foursquare comentó que era consciente de este fallo y, por ello, aplicó una actualización de la aplicación para todos los usuarios de Android el martes 7 de junio, con lo cual, dan por solventado el problema y, además, aseguran que al desinstalar la aplicación, todos los datos almacenados se eliminan.
Netflix también comentó que era consciente del fallo y estaban trabajando en su solución, aunque sin dar fechas. Finalmente, LinkedIn comentó que están sobre aviso y están trabajando de manera conjunta con el equipo de Android de Google para solventar el problema:
Estamos usando los estándares y guías de buenas prácticas de Android para almacenar y manejar datos de los usuarios.
De hecho, Google ha comentado que los desarrolladores son los responsables últimos de cómo se tratan los datos personales de los usuarios en las aplicaciones y les recomienda que no almacenen informaciones demasiado específicas.