Manejo inseguro de credenciales de usuarios en PicsArt app para Android

PicsArt Photo Studio es una aplicación gratuita disponible para Android, iOS y Windows Phone que permite a un usuario editar sus fotos, añadirles efectos y compartirlas con otros usuarios. A Octubre del 2014 la versión para Android de la aplicación tiene entre 100 y 500 millones de descargas en el mercado de aplicaciones Google Play. Según el fabricante, la aplicación ha sido instalada más de 175 millones de veces, crece mensualmente en 7 millones de descargas y tiene 45 millones de usuarios registrados activos por mes[1]. La aplicación permite a sus usuarios tomar, editar, publicar y compartir fotos en la página de PicsArt y en redes sociales como Facebook, Twitter y Google+ directamente desde la aplicación móvil.

Originalmente la aplicación de PicsArt para Android[2] no utilizaba HTTPS para enviar datos sensibles a sus servidores, permitiendo que un atacante tomara el control de cuentas de usuarios con solo capturar el tráfico de red. Después que reportamos el problema al fabricante, la aplicación empezó a utilizar HTTPS pero sin validar los certificados SSL presentados por el servidor al establecerse la comunicación, lo que permite a un atacante realizar ataques de intermediación (Man-In-The-Middle). La consecuencai es que un atacante todaví­a puede obterner el control de la cuenta de un usuario cualquiera de PicsArt si captura el identificador de usuario de Picsart que se manda como valor del parámetro key en algunos pedidos HTTP con verbo GET.

También se identificaron otros problemas: Un usuario puede registrarse e iniciar una sesión con el servicio de PicsArt usando un esquema de usuario (dirección de correo electrónico) y clave o utilizando su cuenta ya existente en una red social de terceros como Facebook, Twitter, Google+, etc. Cuando se utiliza una cuenta de otra red social para regsitrarse e iniciar la sesión, la aplicación móvil de PicsArt interactúa con el servidor de la red social y obtiene un identificador de usuario y un token de accesso que enví­a al servidor de PicsArt para identificar al usuario. Esto significa que tanto la aplicación corriendo en el dispositivo móvil, como los servidores de PicsArt pueden asumir la identidad del usuario en las redes sociales que utiliza.

Durante el procedimiento de inicio de sesión, el servidor de PicsArt no verifica que los tokens de acceso de Google+, Facebook y Twitter sean válidos. A consecuencia de ello, un atacante puede enviar un pedido de inicio de sesión dando el identificador de cualquier usuario de una red social y obtener las credenciales de PicsArt asociadas a ese usuario de Google+, Facebook o Twitter. Esto permite a un atacante obtener acceso a cualquier cuenta de un usuario de PicsArt creada a partir de una cuenta de red social de terceros.

Además. el atacante puede también puede obterner los tokens de acceso para cuentas en redes sociales de terceros (Facebook, Twitter, Google+) de cualquier usuario de PicsArt. Este problema afecta a todos los usuarios de PicsArt que accedan a su cuenta mediante Google+/Facebook/Twitter.

Paquetes vulnerables

  • La aplicación PicsArt Photo Studio para Android versión 4.6.12 o anterior pero posterior a la 4.6.3 usa HTTPS pero no valida correctamente el certificado SSL del servidor.
  • La aplicación PicsArt Photo Studio para Android versión 4.6.3 o anterior pero posterior a la 4.2.2 usa HTTP y HTTPS sin validar correctamente el certificado SSL del servidor.
  • La aplicación PicsArt Photo Studio para Android versión 4.2.2 o anterior no usa HTTPS y transmite datos sensibles sin cifrar.

Información y soluciones del fabricante

Después del reporte inicial al fabricante, PicsArt publicó una nueva versión de la aplicación (4.2.2) que utilizaba HTTPS para la mayor parte de, pero no todas, las comunicaciones con la API del servidor. Desde la versión 4.6.3 todas las comunicaciones se hacen ví­a HTTPS y no se filtra la clave de identificación de usuario. Sin embargo, a la fecha de publicación de este boletí­n de seguridad ninguna version de la aplicación, incluyendo la actual (4.6.12), valida correctamente el certificado SSL del servidor, por lo cual todaví­a es posible realizar ataques de tipo «Man-in-the-Middle» y comprometer cuentas de usuarios.

El servidor sigue sin validar los tokens de acceso presentados por el pedido de login de un usuario.

Una solución para evitar que los atacantes comprometan su cuenta de Facebook, Twitter o Google+ es deshabilitar el acceso de la aplicación PicsArt a su perfil. Desde Facebook o Twitter vaya a «Ajustes | App» y elimine la aplicación PicsArt de la lista de aplicaciones. Para Google+ vaya a «Cuenta | Seguridad | Aplicaciones y sitios web» y haga clic en el acceso revocación de la aplicación PicsArt.

Se recomienda a los usuarios preocupados por la protección de su privacidad y la seguridad de sus datos personales dejar de usar la aplicación hasta tanto el fabricante publique una version que realice correctamente la validación de los certificados SSL y solucione el problema de verificación de credenciales de acceso en el servidor.

Fuente: fundacionsadosky.org.ar

Compartir: