Publicada la App de MyPublicInbox para iPhone (iOS) en App Store

El proceso de tener publicada la App de MyPublicInbox para iPhone para que los usuarios la pudieran disfrutar en el sistema operativo iOS ha sido un poco más largo de lo que esperábamos, pero ya está disponible en App Store para que los usuarios se la puedan instalar en España, Estados Unidos, y poco a poco el resto de países.

Figura 1: Publicada la App de MyPublicInbox para iPhone (iOS) en App Store

La app de MyPublicInbox para iPhone la tienes en App Store en la siguiente URL: App de MyPublicInbox para iPhone, y una vez que la instales podrás tener todas las funciones que tenemos en la plataforma disponibles en la app, que tiene "parity check", así que podrás hacer todo desde ella.

Figura 2: App de MyPublicInbox para iPhone (iOS) en App Store

El funcionamiento es muy similar al que tienes en la versión WebApp para iOS, sólo que en este caso está integrado todo con las APIs del sistema operativo, lo que ayuda a que puedas tener una mejor experiencia de uso, pero si no está en tu región, puedes utilizar esta versión perfectamente.

Figura 3: App de MyPublicInbox para en iPhone (iOS)

Además, como una app del sistema iOS, podrás añadir una capa de seguridad extra utilizando FaceID para bloquear el acceso, y al mismo tiempo recordar la contraseña en el gestor de contraseñas de iPhone, lo que te hará la usabilidad mayor.

Figura 4: Configuración de FaceID para proteger la app de MyPublicInbox en iPhone

Si no eres usuario de iPhone & iOS, y tienes un sistema operativo del androide, ya sabes que también tienes la versión de app de MyPublicInbox para Android en Google Play.

Figura 5: App de MyPublicInbox para Android en Google Play

Estamos activando poco a poco las zonas geográficas, así que si estás en un país que no tiene disponible la versión de iPhone o de Android, contacta con Leire o Héctor en MyPublicInbox para que le demos priorizar a tu región, pero mientras tanto, puedes usar la WebApp de MyPublicInbox que funciona para iPhone y para Android.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo configurar la WebApp de MyPublicInbox en iPhone & iPad

Los compañeros del equipo técnico de MyPublicInbox han estado trabajando en crear una versión Web-Mobile para tener una WebApp en iOS que funciona bastante bien en iPhone y en iPad, y ya puedes configurarla si quieres, para estar atento a las notificaciones, los mensajes, o para ganar Tempos todos los días apoyando las campañas de Tempos x Tweets. Sólo debes hacer una pequeña configuración la primera vez y listo.

Figura 1: Cómo configurar la WebApp de MyPublicInbox en iPhone & iPad

Para explicar cómo hacelo, los compañeros han creado este pequeño tutorial que explica "Cómo configurar la WebApp de MyPublicInbox en iPhone & iPad", que yo os paso a desgranar también aquí. 

Figura 2: "Cómo configurar la WebApp de MyPublicInbox en iPhone & iPad"

Para ello basta con que visites la web de MyPublicInbox.com y verás que te sale una anuncio que te lleva al tutorial para instalar la WebApp de iPhone & iPad. Después, lo único que debes hacer es dar al botón de "Compartir" y seleccionar la opción de "Añadir a la pantalla de inicio".

Figura 3: "Cómo configurar la WebApp de MyPublicInbox en iPhone & iPad"

Tras hacer esto, te que quedará instalado la WebApp de MyPublicInbox para iOS como una App de tu iPhone & iPad para que la tengas al alcance de tus dedos.

Figura 4: Correo electrónico y configuración en WebApp iOS de MyPublicInbox

Todo el interfaz de MyPublicInbox lo estamos haciendo para que sea compatible y usable como Web-Mobile en iOS, así que debería funcionarte bastante bien, pero cualquier feedback de uso que nos paséis y mejoras, será de agradecer.

Figura 5: Tempos x Tweets en WebApp para iOS de MyPublicInbox 

Por supuesto, tenemos en mente un largo roadmap para mejorar MyPublicInbox, e iréis viendo día a día cómo mejora, cómo añadimos nuevas opciones y servicios, y cómo salen nuevas mejoras de apps, de usabilidad web, y de APIs, que tenemos una estrategia de API-Service que pronto os compartiré.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Apple en App Store elimina apps que se llevan tu localización

Llega el GDPR, y con él muchos cambios en todos los sistemas informáticos de las empresas. Aprovechando estos cambios, Apple ha comenzado a eliminar apps de su tienda de aplicaciones que acceden a la localización del terminal iOS (iPhone & iPad) y lo envían a servidores de terceros sin haber informado de ello explícitamente.

Figura 1: Apple en App Store elimina apps que se llevan tu localización

Esto lo está notificando por medio de un correo electrónico de Re-evaluación de app que está llegando a los dueños de las aplicaciones, y en el que se le informa que si quiere que su app vuelva a estar disponible en App Store debe corregir este comportamiento.

Figura 2: Correo de AppStore para retirar apps por acceder a la localización sin explicarlo correctamente

Esto es una buena noticia, pues la localización dice mucho de las personas, y si el usuario no es consciente de que se está produciendo este acceso y, lo más importante, cuál es el propósito de uso de esta información ahora y en el futuro, puede resultar en un riesgo para la privacidad de las personas. 

Figura 3: ElevenPaths Talk: El nuevo reglamento GDPR

Con el GDPR esta información debe ser mucho más clara y los usuarios deben tener mucho más control. Si quieres conocer más, debes verte esta ElevenPaths Talk, en las que mis compañeros cuentan los detalles y pormenores.

Figura 4: You are where you are

En esta otra conferencia, que yo dediqué íntegramente a los datos de localización de las personas, expliqué qué información se puede extraer de cada uno de nosotros simplemente con el dato de localización, así que es bueno que las apps se comiencen a ver restringidas a la hora de recolectar esos datos.

Saludos Malignos!

No publiques tus certificados digitales en tus apps

Como ya os avancé en otro post, Tacyt está almacenando en el Big Data ahora mismo apps tanto del mundo iOS como del mundo Android, para que los analistas de seguridad puedan investigar en este mundo móvil. El número de cosas que se pueden encontrar es grande, y al tener indexado el contenido de las apps por todos sus campos, las técnicas de dorking permiten localizar muchos entornos vulnerables o débiles, no solo en la app, sino también en la infraestructura de backend.

Figura 1: No publiques tus certificados digitales en tus apps

En mi primer contacto con las apps de iOS busqué a ver si cosas básicas, como ficheros de contraseñas con passwords en texto claro que pudieran estar almacenados localmente con la app, se podían encontrar o no. El resultado, como ya sabéis por el artículo es que aparecen, por supuesto, al igual que aparecen en apps de Android.

Figura 2: Búsqueda de apps para iOS con ficheros .pfx en el contenido del paquete

He seguido realizando búsquedas mientras va creciendo el Big Data, y más o menos los errores que se pueden localizar no diferencian mucho entre lo que se hace en Android e iOS. En una de estas pruebas me dio por buscar si era posible hacerse con certificados digitales con la clave privada que pudieran estar almacenados localmente en alguna app de iOS, para lo que realicé una consulta tal y como podéis ver en la figura 2. La idea era localizar apps para iPhone o iPad que hubieran empaquetado un fichero con la clave pública y privada exportada en formato .pfx, algo que se suele hacer para salvaguardar un determinado certificado digital.

Figura 3: Fichero pfx dentro del contenido de una app

Como podéis ver, en la ruta local de la app, es decir, dentro del paquete aparece incluido el fichero PFX, por lo que cualquiera puede acceder a su contenido. En este caso, como es un fichero .ipa, basta con descargar el fichero, ponerle extensión .zip, descomprimir el contenido y, cuando aparezca la aplicación .app darle a la opción de "Mostar el contenido del paquete" desde un OS X. Ahí podremos acceder al fichero con la clave privada del certificado.

Figura 4: Acceso al fichero con el certificado digital

Como se puede ver, al tratar de acceder al certificado nos encontramos con la protección por contraseña que se puso durante el proceso de exportación, con lo que si queremos acceder a la posesión del archivo deberemos crackearla previamente.

Figura 5: Solicitud de contraseña para acceder al certificado digital

Por supuesto, a día de hoy existen multitud de herramientas para hacer este trabajo en local, en la nube, herramientas Open Source o suites profesionales como las de ElcomSoft que permiten hacer esta tarea. Es solo una cuestión de tiempo saber cuándo se podrá acceder al control del certificado. 

Figura 6: crackpkcs12. Una herramienta con el código fuente disponible para su análisis

Esto, habitualmente suele ser un problema a la hora de empaquetar una app para su distribución. Sucede en las aplicaciones webs en las que al sincronizar la carpeta local con la carpeta del servidor se suben ficheros sensibles no necesarios y, como veis, también sucede en el mundo de las apps móviles, por lo que hay que ser cuidadoso con lo que vas a poner tu paquete a distribuir, que alguno ha puesto hasta malware para Windows en una app de iPhone en el pasado. 

Saludos Malignos!

Dorking and Pentesting en Apps de AppStore

Ya son muchos los artículos que he escrito y las charlas que he dado sobre el uso de Tacyt para hacer dorking y pentesting a empresas usando la información de las apps que tienen publicadas. Durante todo este tiempo lo he estado haciendo con apps de Android, pero desde hace un tiempo estamos alimentando el Big Data de Tacyt con apps de iOS, lo que nos permite realizar búsquedas "similares" con las aplicaciones de iPhone, iPad y Apple Watch.

Figura 1: Dorking & Pentesting en Apps de AppStore

Estamos alimentando la base de datos, y actualmente solo tenemos algo más de 300.000 apps lo que ya permite que se empiecen a buscar cosas allí dentro. Por si quieres ver qué cosas se pueden hacer con Tacyt, te dejo la charla que di en Segurinfo Argentina en 2015, que muestra algunos ejemplos.


Figura 2: Conferencia sobre Dorking, Pentesting and Discovering with Tacty
No quiero desvelaros cosas aún, pues será en el mes de Junio cuando presentemos en detalle todas las cosas que se pueden hacer con la conjunción de los mundos de Android & iOS en una sola plataforma, pero sí quería enseñaros una muestra de la primera cosa que probé.

Figura 3: Más de 300.000 apps de AppStore analizadas con Tacyt

Una de las características que tenemos en Tacyt es la de poder buscar por ficheros dentro del paquete de la app, así que para comprobar si la calidad de las apps de iOS es tan superior a las de Android como muchos dicen, hice la primera búsqueda que me vino a la cabeza: "¿Habrá apps con un fichero password.txt que guarde la contraseña de algún servicio?".

Figura 4: Aparecen 3 apps gratuitas con un fichero password.txt

Por supuesto, la respuesta es que sí, y con este nombre tan significativo aparecen varias apps gratuitas, con lo que podemos disponer de los contenidos y revisar qué hay dentro de ese fichero en concreto.

Figura 5: El fichero password.txt de la app

Para desempaquetar y explorar el contenido una app de iOS en un sistema OS X solo tienes que cambiar la extensión de .ipa a .zip, descomprimir y, cuando salga la aplicación con extensión .app seleccionar la opción de "Mostrar el contenido del paquete". El resultado es que OS X te permite ver toda la estructura de archivos y directorios de la app.

Figura 6: Explorando el contenido de la app después de descomprimirla

Ahora solo hay que buscar el fichero password.txt et voilà, aquí está la contraseña que guarda esta app tan celosamente dentro de su contenido.

Figura 7: El fichero con la password

Al final, la revisión de AppStore es mucho más exhaustiva que la que realiza Google Play, pero no está buscando los fallos de seguridad de las apps, por lo que antes de publicar una app de tu compañía sigue siendo necesario que hagas los deberes y audites correctamente todo lo que vas a hacer público.

Saludos Malignos!

El "crappware" para Android en Google Play se mueve pero NO desaparece

Decía en una conferencia interna Sergio de los Santos (@ssantosv), nuestro compañero de Eleven Paths, que él no trabajaba en Path 5, sino que únicamente se sentaba a jugar y ver lo que pasaba en el mundo del adware. Desde que aceleramos el lanzamiento del Path 5 para el Security Innovation Day 2014 ya podemos jugar todos con el juguete, así que de vez en cuando paso un rato viendo cómo funcionan estos que viven de hacer "crappware" en Google Play y viendo qué cosas te puedes encontrar por esas apps perdidas. Hoy es uno de esos días.

Figura 1: El "crappware" para Android en Google Play se mueve pero no desaparece

FakeApps y MainStream

Una de las cosas curiosas que tiene el adware en Google Play, es que buscan meterse en el mainstream de las keywords de apps más buscadas. Es decir, en las búsquedas de las apps más descargadas en el mundo y más instaladas por todos los usuarios. Nombres de juegos o de aplicaciones muy comunes son lo más habitual para este mundo. Todo esto lo tenéis explicado en detalle en la serie de nueve artículos en el blog de Eleven Paths llamados "El negocio de las FakeApps y el malware en Google Play".

De todas esas keywords adoradas por los creadores de adware en Google Play, "WhatsApp" es una de las más elegidas, así que adware, fakeapps o malware en general busca posicionarse con la palabra WhatsApp. En la plataforma Path 5, nosotros tenemos creados filtros, que generan canales RSS a los que te puedes suscribir para luego procesar los resultados, por ejemplo como os enseñamos utilizando Sinfonier. Entre ellos tenemos uno para localizar todas las nuevas apps que se suben a Google Play con la palabra WhatsApp en el título.

Figura 2: Filtros para localizar nuevas apps con la palabra WhatsApp en el título

Como podéis ver, tenemos muchos filtros, que nos permiten monitorizar apps que tienen acceso a lectura y/o escritura de SMS - para detectar nuevas apps que hicieran estafas de suscripción a servicios premium vía tipo Linterna Molona -, filtros para las apps de Shuabang Botnet, también para conocer las apps que se eliminan cada día del market y un largo etcétera que nos permite saber cómo está el mundo de Android de virulento.

Figura 3: Más de 1.500 apps tienen la palabra WhatsApp en su nombre

El cambio de collar de los desarrolladores de adware

Mirando las apps que tienen el término de WhatApp en el título siempre es fácil localizar alguna que ha sido localizada y tirada por Google. Normalmente por alguna denuncia, por alguna investigación interna o por un reporte de casas de antimalware en general que acaban por firmarla. Cuando esto sucede, nosotros ponemos el ojo en el resto de las apps que han sido generadas por el mismo desarrollador, ya que puede que alguna del resto sean igual de peligrosas.

Figura 4: Un app de "WhatsApp" tirada al desarrollador free gratis (con apps aún activas)

Google no tira la cuenta entera hasta que no hay varias apps que son eliminadas de la misma cuenta por mala praxis, así que los investigadores de seguridad tienen que vigilar si el resto son o no peligrosas. Tened en cuenta que para muchas empresas es fundamental conocer qué apps son maliciosas lo antes posibles, pudiendo filtrar la descarga de las mismas vía un servicio de MDM (Mobile Device Management) o para saber si alguna está instalada ya en un dispositivo de uno de sus empleados.

Los desarrolladores de este tipo de "crappware" también lo saben, así que lo que suelen hacer es crear una nueva cuenta de desarrollador de Google, migrar allí las apps y continuar con el negocio. Encontrar las nuevas cuentas de los desarrolladores, es decir, hacer un poco doxing para saber en qué cuentas se encuentra escondido el mismo desarrollador, es algo para lo que Path 5 nos ayuda mucho, así que con un poco de experiencia, y la búsqueda apropiada es posible localizar la nueva cuenta de este desarrollador.

Doxing de nuevas cuentas de los desarrolladores

Aquí es donde Path 5 demuestra su autentica potencia, ya que aprovechando todos los parámetros por los que se pueden hacer búsqueda, con sencillas consultas podemos llegar a ser capaces de localizar todas las apps relacionadas. En este ejemplo, con un consulta hecha con cariño por los parámetros adecuados, aparece una app más que sospechosa de ser la misma "crapp" pero con distinto collar. 

Figura 5: Una app muy similar pero de otro desarrollador

Permitidme que no os cuente la consulta en detalle, pero si miramos los permisos y enlaces de las apps, es fácil darse cuenta de que son muy similares (además de todas las cosas que son exactamente iguales y que nos trajo hasta aquí).

Figura 6: Permisos y links en WhatsApp Sonidos Notificación (la app retirada de Google Play)

Por supuesto, para poder tener la garantía 100% de que es la misma app deberíamos hacer un análisis del código, algo para lo que en Path 5 guardamos todas las apks de todas las apps que hemos ido descubriendo, así que siempre es posible hacer ese trabajo.

Figura 7: Permisos y enlaces en Sonidos de Notificaciones. Aún en Google Play y de otro desarrollador.

La prueba del Growth Hacking

Para darse cuenta de que ese desarrollador y esa app son exactamente la misma app y el mismo desarrollador pero con otra cuenta y otro collar, podemos ir a ver la app publicada en Google Play que aún está activa. Si nos paramos a mirar los detalles de la publicación podremos sacar muchos más nexos.

Normalmente esto desarrolladores acompañan la publicación de las apps con esfuerzos de Growth Hacking, o lo que es lo mismo, con formas de conseguir posicionamiento de las apps haciendo [Black or Grey or White] ASO (App Store Optimization), por medio de malware, botnets, spam, servicios de posicionamiento por referencia, plataformas de promoción, etcétera. Muchas de estas crapps - más tendentes al Black ASO que al White ASO - tienen por tanto comentarios hechos por cuentas falsas controladas por ellos. 

Figura 8: Marco Gomez ha dado 5 estrellas a Sonidos de Notificaciones

Si miramos los comentarios de esta app, se puede ver que entre los primeros hay alguien muy fan que ha votado con 5 estrellas a esta app. Muy fan debe ser porque hay otros comentarios que dejan muy a las claras cuál es el tipo de app del que estamos hablamos.

Figura 9: Los votos y comentarios de Marco Gomez en Google Play

Si miramos la actividad en Google Play de Marco Gomez, veremos que no solo es fan de esta app de Sonidos de Notificaciones, sino de una buena lista de ellas, entre las que se encuentran muchas que son más o menos del mismo estilo.

Figura 10: Marco Gomez también le da un 5 a Vídeos de Monólogos WhatsApp de "free gratis"

Por supuesto, si nos paramos a ver qué desarrolladores están detrás de todas ellas a las que Marco Gomez está votando tan efusivamente encontraremos - ¡oh, sorpresa! - que aparece el desarrollador original de WhatsApp Sonidos de Notificación del que partíamos.

Conclusiones

Estas técnicas de utilizar cuentas nuevas de apps de Google Play para re-publicar las apps que son tiradas son muy comunes, y por eso muchas de estas cuentas de desarrolladores se compran y se venden - muchas en el mundo underground -, creándose con tarjetas robadas, o usadas para blanquear dinero.

Figura 11: Venta de cuentas de Google Play

Los desarroladores que llevan este negocio necesitan maximizar el rendimiento que les den estas apps durante el tiempo que estén vivas, por eso no abandonan una cuenta hasta que no ha sido eliminada del todo y por eso buscan posicionar las nuevas apps publicadas con la nueva cuenta de desarrollador con una campaña de Growth Hacking haciendo algún tipo de Black ASO. Esto no solo pasa en Google Play, y las campañas de Black ASO con spam de comentarios desde cuentas falsas aparecen también en App Store (donde Apple hace limpia periodicamente).

En una empresa u organización, localizar todas estas apps y tener bloqueado desde el MDM las apps que sus empleados puedan instalarse para evitar problemas mientras que Google las cierra es fundamental. A día de hoy, por desgracia, las ventanas de tiempo que deja Google Play son demasiado grandes y estos creadores de adware, "crappware" o malware lo utilizan a la perfección.

Saludos Malignos!

Mi niña de 2 años me ayuda a hackear la app de Pocoyó por Deepak Daswani

Al igual que cuando uno comienza a introducirse en el mundo de la seguridad informática, empieza a interiorizar siglas y palabros que hasta entonces te eran desconocidos (SQLi, XSS, CSRF, Buffer Overflow, etcétera.) y a identificar a referentes internacionales como Kevin Mitnick, Charlie Miller o El Maligno, cuando uno se adentra en el fascinante universo de la paternidad, además de asimilar nuevos conceptos y rutinas, comienza también a conocer a otro tipo de referentes que le acompañan en esta nueva etapa. Hablamos cómo no, de los famosos y carismáticos personajes de la infancia, como Bob Esponja, Peppa Pig, o el grandioso Pocoyó. Los protagonistas de estas populares series infantiles de dibujos están presentes en numerosos aspectos de la vida de los bebés, desde la propia televisión donde se originan, hasta los juguetes, el menaje o ropa infantil.

Como no podía ser de otra forma, el Universo 2.0 pone a disposición de todos los que somos padres nuevos canales para que nuestros hijos puedan disfrutar de sus personajes favoritos en cualquier momento y en cualquier lugar. Es posible acceder a numerosos capítulos de estas series a través de vídeos en Youtube, así como diferentes apps para SmartTV o dispositivos móviles, generalmente de forma gratuita.

Figura 1: Canal Youtube de Pocoyó

Al igual que nosotros utilizamos a diario varios dispositivos para acceder a la misma información, nuestros hijos, los llamados nativos digitales, que interaccionan con la tecnología mejor que muchos adultos aún siendo bebés, eligen indistintamente diversas opciones dependiendo de las posibilidades que tengan a su alcance, así como de la paciencia y permisividad de sus padres. En particular a mi pequeña Lara le gusta disfrutar de las aventuras de Pocoyó y sus amigos a pantalla completa en la SmartTV, pero cuando esto no es posible accede a dichos contenidos desde el canal de Youtube o la aplicación móvil del iPad.

Figura 2: Aplicación de Pocoyó para SmartTV Samsung

De entre las diferentes aplicaciones móviles desarrolladas por Zinkia, la productora de Pocoyó, en concreto la que utiliza mi hija se llama Pocoyó TV. Esta app permite al usuario ver cualquiera de los 52 capítulos de la primera temporada de Pocoyó, con la particularidad de que sólo los primeros 5 están disponibles de manera gratuita. Si se desea visualizar alguno de los otros 47 restantes, es necesario pasar por caja para desbloquear dicho capítulo mediante la contratación de una suscripción por un período de tiempo determinado. Esto a priori puede sonar un poco incoherente ya que estos capítulos están disponibles de manera gratuita en otros medios como el Canal de Youtube oficial de Pocoyó, o la aplicación móvil de Pocoyó para SmartTV, ambos pertenecientes a la propia Zinkia.

Figura 3: Además de publicidad, la app para iPad bloquea capítulos que son públicos en otras plataformas

En cualquier caso, entiendo que aunque suene contradictorio el planteamiento, pueda suponer una pequeña fuente de ingresos adicional para la compañía, ya que al no tratarse de grandes cantidades de dinero muchos padres contratarán la suscripción, en algunas ocasiones por desconocimiento y en otras por comodidad o dejadez por no abrir el buscador de Youtube y localizar el capítulo bloqueado desde el iPad.

Figura 4: Suscripción para desbloquear el capítulo en la app de iPad

Es solo una pequeña fuente de ingresos más que puede venir de las que apps, de las que ya se han contabilizado más de 10 millones de descargas entre todas las aplicaciones de Pocoyó para todas las plataformas.

Figura 5: Más de 10.000.000 de apps descargadas.

Más allá de que para alguno pueda ser cuestionable cobrar por capítulos que se ofrecen gratuitamente a través de otros canales, lo que sí que es importante es que esto se haga bien. Esto viene a colación de que hace unos meses, mi hija se estrenó con tan sólo 2 años en esto de encontrar fallos de seguridad o implementación, ya que mientras yo analizaba las capturas de tráfico de mi propia red WiFi cuando trabajaba en el post sobre Whatsapp Discover, ella veía plácidamente el Capítulo 2 de Pocoyó desde el iPad, con lo que su tráfico se coló en dicha captura: 

Figura 6: Petición de descarga del Capítulo 2 de Pocoyó en Español desde la app de iPad

Como se puede ver en la imagen, a la hora de descargar un capítulo para poder verlo en la aplicación, se accede directamente mediante HTTP al vídeo de dicho capítulo en formato mp4, que se descarga desde el servidor. Nada ofuscado u oculto en dicha petición.

Hace unos días, decidí investigar un poco más esto que llamó mi atención en aquel momento. Así que tras hacer pasar el tráfico de mi iPhone por el proxy Burp, comprobé que en la versión actual de la aplicación, la descarga de los capítulos se sigue realizando a través de HTTP en formato mp4 directamente desde el servidor.

Figura 7: Descarga de capítulos de Pocoyó desde la app de iPhone visto con Burp

Así que se me ocurrió ver qué pasaba si en vez de pedir el vídeo del Capítulo 2 que está disponible de manera gratuita, construyo la URL para el Capítulo 9 que es de pago, cambiando simplemente un dígito por otro. El resultado era de esperar: 

Figura 8: Descarga de los capítulos bloqueados de Pocoyó desde la web

Tras realizar varias pruebas, me di cuenta que todos los capítulos podrían descargarse gratuitamente del servidor no sólo en Español, sino en el resto de idiomas que ofrece la aplicación, con lo que si ya antes era absurdo contratar la suscripción, ahora carecía completamente de sentido alguno.

Figura 9: Los capítulos de Pocoyó están disponibles en estos idiomas

Para constatar esta suposición, basta con pedir un capítulo de Pocoyó en Japonés del servidor, y el mismo se descarga directamente sin ninguna validación de por medio.

Figura 10: Descarga de un capítulo de Pocoyó en Japonés

Más allá de un problema de seguridad, en el caso de que el contenido no pudiera obtenerse de otra forma gratis, hablamos de un problema conceptual de implementación que daría al traste totalmente con el modelo de negocio de la aplicación. De nada sirve cobrar por algo que no conseguimos tan siquiera ocultar, y ya se sabe que eso de la seguridad por oscuridad no suele funcionar. Con un sencillo script con Wget podríamos obtener todos los capítulos en cualquier idioma. He aquí un ejemplo para poder tener la versión en portugués:

Figura 11: Wget desde Kali Linux para descargar los 52 capítulos de Pocoyó

En aras de agradecer a la productora los ratos agradables que Lara pasa mientras observa con atención las aventuras de Eli, Pato, Nua y Pocoyó, decidí informar de este problema a los responsables de la compañía, quienes me agradecieron el reporte informándome de que se lo comunicarían a sus desarrolladores para futuras actualizaciones de la aplicación.

Tan sólo unos días después, han subido a la App Store una actualización de la aplicación con nuevas funcionalidades, pero en principio este problema sigue aún vigente ya que han debido considerar que al estar el contenido público por otros medios, no tenía sentido de momento actualizar el sistema. No obstante, este problema se repite en muchas apps que cobran por contenido, así que valga el ejemplo de Pocoyó para explicaros qué no se debe hacer nunca.

Autor: Deepak Daswani
Sitio web: http://deepakdaswani.es
Twitter: @dipudaswani

PlayDrone: Tokens de autenticación en apps Google Play

Un grupo de investigadores de la Universidad de Columbia han publicado un paper titulado "A Measurement Study of Google Play", donde explican cómo han realizado un estudio sobre las apps publicadas en Google Play y los resultados descubiertos, donde llama poderosamente la atención el descubrimiento de los tokens de autenticación hardcodeados en el código de las apps.

Figura 1: El paper que describe PlayDrone y el estudio de Google Play

Los miembros del equipo, Nicolas Viennot, Edward Garcia y Jason Nieh han construido para su análisis PlayDrone, un sistema que hace crawling de todo Google Play para descubrir el máximo número de apps y descargarlas. Hacer esto no es trivial, ya que Google no permite hacer esto, así que han tenido que utilizar técnicas conocidas por la industria de seguridad para obtener la máxima visibilidad de ellas.

Una vez conseguidas las apps, más de 1.000.000 de apps distintas, los investigadores han hecho una serie de catalogación de las apps en base a las librerías que utilizan, los tipos de servicios que ofrecen, etcétera, que siempre vienen bien para poder entender mejor Google Play.

Figura 2: PlayDrone y el análisis de la app de Gmail para Android

Esto es importante, sobre todo vista la industria de Fake Apps que se ha creado alrededor de Android, para poder localizar aquellas que utilizan los mismos patrones, como por ejemplo las mismas librerías de publicidad. O para localizar apps maliciosas que te quieran robar el WhatsApp para que otro te pueda espiar WhatsApp o  los números de teléfono de tu terminal para hacer suscripciones a sistemas SMS Premium.

Sin embargo, lo que más llama la atención es que tras decompilar todas las apps han realizado una búsqueda de tokens OAuth y credenciales para la API de AWS (Amazon Web Services) y han podido descubrir miles y miles de tokens hardcodeados, incluido los de cuentas de Facebook, Twitter, Linkedin, Flickr, BitLy, FourSquare, etcétera.

Figura 3: Tokens de cuentas de servicios localizados en apps 

Cualquiera que consiga estos tokens podrá gestionar gran parte de las cosas que se haya autorizado a ese token, como por ejemplo poner twitts o hacer follow en Twitter (hay más de 28.000 tokens) y poder vender retwitts o seguidores para satisfacer las necesidades de los Community Managers de Cartón Piedra. También podrían hacer like a páginas de Facebook - como hacía el tipo que se cambió el nombre a Mark Zuckerberg - o compartir contenido en los muros de Facebook y distribuir malware (como se hacía con la estafa de la linterna molona), etcétera. Los amigos del Fraude Online seguro que encuentran siempre algo valioso con estas cuentas.

Figura 4: La charla de la presentación del trabajo

El uso de tokens hardcodeados en las apps lo hemos visto no solo en Android y también en las apps de App Store de iPhone se encuentra demasiado comúnmente, como se explica en el libro de Hacking iOS, e incluso a veces pueden encontrarse estos tokens simplemente revisando el log de una app usando el Apple System Log para ver cuándo hace uso de él.

Dicho esto, si tienes una app desarrollada en iOS o desarrollada en Android, o si piensas hacer una app en breve, aplícate el cuento y ten mucho cuidado con los tokens o passwords que hardcodeas en tu código, que como puedes ver si está en Google Play o en App Store está al alcance de cualquiera.

Saludos Malignos!