El control parental descontrolado
Las aplicaciones de control parental se han hecho muy populares entre padres y madres que buscan evitar que sus hijos e hijas accedan a contenido en internet inadecuado para su edad. Este tipo de soluciones, disponibles en las más diversas plataformas y como extensiones del navegador tanto para entornos de escritorio como de dispositivos móviles no están exentos de una sacrificio de la privacidad, puesto que pueden monitorizar todos los dispositivos conectados a ellas. Tanto es así, que un estudio reciente revela que la mayoría de las soluciones de control parental no logran preservar adecuadamente la seguridad y la privacidad de sus usuarios (menores y progenitores).
Corría el año 2018 cuando saltaba la filtración de miles de nombres de usuario y contraseñas de Apple a través de la aplicación TeenSafe. No fue un caso aislado, ese mismo año, Family Orbit comprometió más de 280 GB de fotos y vídeos de menores en la nube. No sorprende, pues, que ante este control parental descontrolado se hayan elaborado diversos análisis de su seguridad.
Una de las últimas investigaciones realizadas ha sido la desarrollada en la Concordia University (Montreal, Quebec) y publicada en la revista Security & Privacy de la IEEE (Institute of Electrical and Electronics Engineers). En ella se advierte que los privilegios que se otorgan a este software para que pueda operar incluyen en muchos casos capacidades de gestión de dispositivos móviles, intercepción del protocolo TLS (una versión actualizada y más segura de SSL) y acceso a los datos de navegación y control del tráfico de la red. A ello se suma, además, la recopilación de una gran cantidad de datos confidenciales del usuario, entre los que se encuentran su voz, vídeo, ubicación o, incluso, mensajes y actividad en las redes sociales.
Estas conclusiones no están infundadas, puesto que la investigación realizada se desarrolló analizando el comportamiento de ocho dispositivos de red, ocho aplicaciones de Windows, 10 extensiones de Chrome y 46 aplicaciones de Android. En el caso de Android, esas 46 aplicaciones representan en realidad a 28 soluciones, que suelen componerse de una aplicación para los menores, otra para los padres y madres y un panel de control on-line. El saldo de este análisis revela nada menos que 170 vulnerabilidades.
Entre las fallas de seguridad y privacidad halladas destaca cómo 9 de las 28 soluciones de Android y 4 de los 8 dispositivos de red no autentican correctamente los puntos finales de la API del servidor, lo que hablando en lenguaje común viene a permitir a terceros acceder y modificar de manera ilegítima datos secundarios/principales almacenados en el servidor. No es la única vulnerabilidad encontrada, puesto que se detectó que 8 de las 28 soluciones de Android transmiten información de identificación personal (PII) a través de HTTP y hasta en 6 de estas mismas 28 soluciones abren la puerta a que un atacante comprometa fácilmente la cuenta principal en el extremo del servidor, lo que permitiría tomar el control total de la cuenta del dispositivo del menor. De hacerlo, no sólo podría instalar o eliminar aplicaciones, sino incluso permitir o bloquear llamadas telefónicas y conexiones a internet.
Según se indica en el artículo, el espíritu de esta investigación siempre fue constructivo, de manera que antes de la publicación se notificaron los hallazgos a los diferentes proveedores de software. Sin embargo, dos meses después, únicamente respondieron diez de ellas, tres de cuyas respuestas eran automáticas. Entre los cambios que esta investigación sí ha favorecido se incluyen cómo MMGuardian desaprobó su navegador personalizado, FamiSafe solucionó el problema de seguridad de la base de datos Firebase y FamilyTime reforzó su seguridad habilitando HSTS (HTTP Strict Transport Security) en su servidor.
Sin comentarios