What To Expect, una popular aplicación de seguimiento de embarazos tanto en iOS como en Android, está ignorando múltiples vulnerabilidades graves en su aplicación, incluida una que permite el control total de la cuenta de un usuario, exponiendo su información confidencial de salud reproductiva.
Las vulnerabilidades son particularmente sensibles en un momento en que los defensores de la salud reproductiva pueden convertirse en blanco de acoso.
es un artículo que compartió con 404 Media Antes de su publicación, el investigador de seguridad Ovi Liber dijo que “la exposición de información sobre salud reproductiva podría tener consecuencias graves, dejando a los usuarios vulnerables al acoso, el doxing, la incriminación o incluso ataques dirigidos por parte de actores maliciosos”.
La aplicación What to Expect en Android tiene más de cinco millones de descargas. según la página de Google Play Store de la aplicación. En iOS tiene más de 340.000 reseñas. What to Expect se describe a sí misma como «la marca de embarazo y paternidad más conocida y confiable del mundo, y ofrece una aplicación de seguimiento de embarazo y bebé todo en uno con millas de artículos médicamente precisos para ayudarla a navegar el embarazo y la paternidad”. La aplicación proporciona feeds comunitarios centrados en partes particulares del embarazo que los usuarios pueden seguir y participar, como la lactancia, según capturas de pantalla en la página Google Play Store de la aplicación. Los usuarios pueden ingresar información sobre su propio bebé, como cuándo defecó, cuándo durmió y cuándo comió.
La aplicación Qué esperar es parte de la marca más amplia Qué esperar durante el embarazo y la paternidad, que comenzó con la libro muy popular Qué esperar cuando estás esperando.
💡
¿Conoce otros problemas con las aplicaciones de salud reproductiva? Me encantaría saber de usted. un dispositivo que no sea de trabajo, puedes enviarme un mensaje de forma segura a través de Signal al +44 20 8133 5190. De lo contrario, envíame un correo electrónico a joseph@404media.co.
El primer problema de seguridad que encontró Liber gira en torno a un punto final API expuesto para la aplicación What to Expect. Esta API no requiere autenticación y no tiene limitación de velocidad, escribe Liber. Esta API maneja solicitudes de restablecimiento de contraseña y, debido a la falta de limitación de velocidad, puede ser forzada de forma bruta, según Liber. «Se podría tomar el control de una cuenta en un período de tiempo extremadamente corto», escribe Liber.
“La vida útil del código de restablecimiento existe durante un período excesivo de tiempo, 1 hora, lo que brinda muchas oportunidades para que un atacante lo aplique por fuerza bruta. Forzar bruscamente un código de este tipo en 1 hora es totalmente factible con una CPU básica de consumo moderno. Si un atacante aprovechara una GPU, sería trivial: utilizando una NVIDIA V100, el proceso de fuerza bruta podría completarse en unos 5 minutos, si no menos”, añade.
Liber dijo que encontraron otro problema en el que la aplicación What To Expect exponen las direcciones de correo electrónico de todas las administraciones de grupos en el foro de la comunidad. «Representa un grave riesgo para la privacidad, aumentando las posibilidades de acoso o ataque dirigido», escribe Liber.
En su artículo, Liber dice que reveló las vulnerabilidades de What To Expect pero nunca recibió una respuesta. Dice que intentó comunicarse con la empresa por primera vez el 24 de octubre y no obtuvo respuesta. Unos días después se puso en contacto con el equipo de relaciones públicas de la empresa y nuevamente no recibió respuesta.
“La divulgación responsable es una práctica fundamental en el hacking ético, diseñada para proteger a los usuarios informando a los propietarios de aplicaciones sobre las vulnerabilidades de seguridad y privacidad. Normalmente, los investigadores de seguridad siguen un proceso de divulgación privada de estos problemas, dando a los desarrolladores la oportunidad de resolverlos antes de su divulgación pública”, escribe Liber. “Sin embargo, cuando los propietarios de aplicaciones no responden o no están dispuestos a tomar medidas del usuario, el plazo de divulgación puede acortarse para priorizar la seguridad del usuario. Cuando los riesgos de seguridad exponen a los usuarios a posibles daños, como el acceso no autorizado a datos confidenciales o violaciones de la privacidad, se vuelve esencial informar a los usuarios oa la comunidad de seguridad en general”.
What to Expect no respondió a una solicitud de comentarios de 404 Media.
“La inacción de la organización plantea importantes preocupaciones éticas sobre su compromiso de salvar la privacidad y seguridad del usuario. Esta investigación tiene como objetivo crear conciencia sobre estas vulnerabilidades, enfatizando la importancia crítica de los derechos digitales y la protección del usuario en aplicaciones que manejan datos personales sensibles”, escribió Liber.
En febrero, TechCrunch informó que Liber encontró una vulnerabilidad en la aplicación de seguimiento de fertilidad Glow que expuso los datos personales de alrededor de 25 millones de usuarios. Glow solucionó ese problema.
Sobre el autor
Joseph es un periodista de investigación galardonado centrado en generar impacto. Su trabajo ha provocado multas por valor de cientos de millones de dólares, el cierre de empresas de tecnología y mucho más.
