Revelan peligrosa vulnerabilidad para los usuarios de SoSafe
Personas externas al usuario pueden acceder al nombre, apellido, correo electrónico y ubicación exacta de la persona a través del GPS.
La aplicación SoSafe es la app más descargada en el país, con más de 5 millones de usuarios (casi un tercio de todos los chilenos). Sin embargo, ellos serían víctima de una peligrosa vulnerabilidad que expone a sus usuarios.
La herramienta sirve principalmente para reportar alguna situación de riesgo que necesite ser informada, seleccionando el tipo de incidente, se puede describir la situación, sacar una foto y la municipalidad y los vecinos más cercanos serán notificados. Tiene un Botón de Pánico y ante una emergencia, presionando el botón la municipalidad será notificada inmediatamente y se pondrán en contacto.
El desarrollo y lanzamiento de esta app se enmarcó en el programa Cascos Históricos y Centros Cívicos, financiado por la Subsecretaría de Prevención del Delito del gobierno de Chile. Sin embargo, según un informe de Dreamlab Technologies, se analizaron las informaciones entregadas durante 90 días al Equipo del Centro de Respuestas a Incidentes de Seguridad CSIRT (por sus siglas en ingles) del Ministerio del Interior (https://www.csirt.gob.cl), detectando varias vulnerabilidades críticas en la app.
Entre ellas destacan la exposición de la información de los usuarios, datos personales privados como nombre, apellido, correo electrónico y ubicación exacta de la persona a través del GPS.
Dreamlab explica que esto se debe a que el login o ingreso, los datos se envían sin cifrar se, lo que permite a una persona mal intencionada posicionada entre la app y el usuario como “hombre en el medio o MiTM” obtener dichos datos e impersonar al usuario.
Producto de la vulnerabilidad, se puede cambiar de manera no autorizada los datos del usuario (nombre, dirección, email, etc.) y escribir un reporte/incidente a nombre de otro usuario.
“Al día de hoy los permisos excesivos y vulnerabilidades se mantienen en la app, por lo tanto, se da la paradoja de que la app más popular de chile y que se ha convertido en un gran servicio municipal y que al día de hoy es la batiseñal digital contra la delincuencia, es insegura y expone datos personales de sus usuarios incumpliendo lo dispuesto en la ley 19628 sobre protección y almacenamiento de datos personales”, concluye el informe.