Si ha utilizado la aplicación de seguimiento de estado físico Map MyRun, existe la posibilidad de que su contraseña se haya filtrado.
Y la popular aplicación de ejercicios no es la única. Otras aplicaciones también pueden poner en riesgo su información.
Un equipo de investigación dirigido por David Choffnes, profesor asistente en la Facultad de Informática y Ciencias de la Información, ha encontrado una filtración 'extensa' de información de los usuarios identificadores, ubicaciones y contraseñas de usuarios y dispositivos en el tráfico de red desde las aplicacionesen dispositivos móviles, incluidos los teléfonos iOS, Android y Windows.
Los investigadores también han encontrado una manera de detener el flujo.
Choffnes presentará sus hallazgos en la Conferencia Data Transparency Lab 2015, celebrada en el Laboratorio de Medios del Instituto de Tecnología de Massachusetts.
En su laboratorio en Northeastern, Choffnes y sus colegas desarrollaron un sistema simple y eficiente basado en la nube llamado ReCon con un trío completo de funciones: detecta fugas de 'información de identificación personal' o PII; alerta a los usuarios sobre esas infracciones;y permite a los usuarios controlar las filtraciones especificando qué información desean bloquear y de quién.
"Nuestros dispositivos realmente almacenan todo sobre nosotros en ellos: quiénes son nuestros contactos, nuestras ubicaciones y suficiente información para identificarnos porque cada dispositivo tiene un número de identificación único incorporado", dice Choffnes.
"Una gran parte del tráfico de red que va y viene no está protegido por encriptación u otros medios", explica. Lo cual puede estar bien cuando envía su dirección de correo electrónico a una aplicación para, tal vez, suscribirse a su boletín informativo. Perono cuando ingresas tu contraseña.
"Lo que es realmente preocupante es que incluso vemos un número significativo de aplicaciones que envían su contraseña, en forma legible en texto sin formato, cuando inicia sesión", dice Choffnes. En una configuración WiFi pública, eso significa que cualquiera que ejecute 'un software bastante simple' podríaatraparlo
Un estudio de Forrester Research de junio de 2015 informó que los usuarios de teléfonos inteligentes pasan más del 85 por ciento de su tiempo usando aplicaciones. Pero se ha realizado poca investigación sobre el tráfico de red de las aplicaciones debido a los sistemas operativos de los dispositivos móviles, a diferencia de los de las computadoras portátiles y de escritorio,son tan difíciles de descifrar
Choffnes ha cambiado eso. Su estudio siguió a 31 usuarios de dispositivos móviles, juntos tenían 24 dispositivos iOS y 13 dispositivos Android, que usaron ReCon durante un período de una semana a 101 días y luego monitorearon sus fugas personales a través de un dispositivo seguro ReConpágina web.
Los resultados fueron alarmantes. "De manera deprimente, incluso en nuestro pequeño estudio de usuarios encontramos 165 casos de credenciales que se filtraron en texto plano", escribieron los investigadores.
De las 100 principales aplicaciones en la tienda de aplicaciones de cada sistema operativo que usaban los participantes, más del 50 por ciento de los identificadores de dispositivos filtrados, más del 14 por ciento de nombres reales filtrados u otros identificadores de usuario, 14-26 por ciento de ubicaciones filtradas y tres contraseñas filtradas entexto sin formato. Además de esas aplicaciones principales, el estudio encontró fugas de contraseña similares de 10 aplicaciones adicionales que los participantes habían instalado y utilizado.
Además de Map MyRun, las aplicaciones de pérdida de contraseña incluyeron la aplicación de idioma Duolingo y la aplicación de música digital india Gaana. Desde entonces, los tres desarrolladores han solucionado las filtraciones. Varias otras aplicaciones continúan enviando contraseñas de texto sin formato al tráfico, incluida una cita popularaplicación
Usar ReCon es fácil, dice Choffnes. Los participantes instalan una red privada virtual, o VPN, en sus dispositivos, un proceso fácil de seis o siete pasos. La VPN luego transmite de forma segura los datos de los usuarios al servidor del sistema, que ejecuta ReConsoftware que identifica cuándo y qué información se está filtrando.
Para conocer el estado de su información, los participantes simplemente inician sesión en la página web segura de ReCon. Allí pueden encontrar cosas como un mapa de Google que indica cuáles de sus aplicaciones están cambiando su ubicación a otros destinos y qué aplicaciones están liberando sus contraseñas en una red no cifradatráfico. También pueden decirle al sistema lo que quieren hacer al respecto.
"Una de las ventajas de nuestro enfoque es que no tiene que decirnos su información, por ejemplo, su contraseña, correo electrónico o género", dice Choffnes. "Nuestro sistema está diseñado para utilizar señales en el tráfico de red paraaveriguar qué tipo de información se está filtrando. El software extrae automáticamente lo que sospecha que es su información personal. Mostramos esos hallazgos a los usuarios y nos dicen si estamos en lo cierto o no. Eso nos permite adaptar continuamente nuestro sistema,mejorando su precisión "
El enfoque de controles y equilibrios funciona: el estudio evaluativo del equipo mostró que ReCon identifica las fugas con un 98 por ciento de precisión.
Las aplicaciones, como muchos otros productos digitales, contienen software que rastrea nuestras entradas, salidas y detalles de quiénes somos. De hecho, si observa la configuración de privacidad en su iPhone, verá esta declaración: "A medida que las aplicaciones lo solicitenacceso a sus datos, se agregarán en las categorías anteriores ". Estas categorías incluyen 'Servicios de ubicación', 'Contactos', 'Calendarios', 'Recordatorios', 'Fotos', 'Compartir Bluetooth' y 'Cámara'.
Aunque muchos usuarios no se dan cuenta, tienen control sobre ese acceso. "Cuando instala una aplicación en un dispositivo móvil, le pedirá ciertos permisos que debe aprobar o denegar antes de comenzar a usar la aplicación,"explica Choffnes." Debido a que soy un poco loco por la privacidad, incluso soy selectivo con respecto a qué aplicaciones dejo saber mi ubicación ". Para una aplicación de navegación, dice, está bien. Para otros, no está tan claro.
Una razón por la que las aplicaciones lo siguen, por supuesto, es para que los desarrolladores puedan recuperar sus costos. Muchas aplicaciones son gratuitas, y el software de seguimiento, suministrado por redes de publicidad y análisis, genera ingresos cuando los usuarios hacen clic en los anuncios dirigidos que aparecensus teléfonos
ReCon, solo entre las herramientas de vigilancia de aplicaciones, quita el control de las manos de los anunciantes y se lo devuelve.
"Hay otras herramientas que le mostrarán cómo está siendo rastreado, pero no necesariamente le permitirán hacer nada", dice Choffnes. "Y se centran principalmente en rastrear el comportamiento y no la información personal real que se envíaReCon cubre una amplia gama de información que se envía a través de la red sobre usted y detecta automáticamente cuándo se filtra su información sin tener que saber de antemano cuál es esa información.
"Finalmente, lo que realmente no he visto en ningún otro lugar, es esta capacidad de proteger su propia privacidad: puede establecer políticas para cambiar cómo se divulga su información"
Fuente de la historia :
Materiales proporcionado por Universidad del noreste . Original escrito por Thea Singer. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :