Hackean la App Fig Zafra

El pasado 1 de octubre la app oficial de la Feria Internacional Ganadera de Zafra mostraba un contenido distinto al habitual. No obstante, fue durante un breve periodo de tiempo en el que llegó a nuestra redacción un correo anónimo alertando de las modificaciones efectuadas en la app.

"Buenos días,

He hackeado la aplicación de la feria de Zafra hace unos minutos bajo el alias de Dr. Copper", rezaba el inicio del escrito anónimo.

Con ello se detallaban los fallos de seguridad que Dr Cooper decía haber detectado y por lo que había decidido modificar parte del contenido de la aplicación para móviles con el ánimo de demostrar que alguien, con nociones técnicas pero ajeno a la empresa creadora, podría manipular el contenido de la aplicación informativa de la FIG. También explicaba que los fallos correspondían a la parte del servidor de la aplicación por lo que en ningún momento se ha accedido a los móviles o tablets de aquellas personas que se descargado la aplicación.

Dr Cooper explica los fallos detectados de menos a más importancia:

La aplicación consta de dos partes: la parte del cliente, es decir, aquella que se instala en el móvil o tablet, y de la parte del servidor, una serie de programas funcionando en un servidor de internet que nutre a la aplicación del cliente de datos e imágenes. Es en esta segunda parte donde están los fallos y descuidos más importantes.

" He de aclarar que mis modificaciones se limitan a esta parte, no tengo acceso a ningún teléfono o tablet donde la app se encuentre instalada, por lo que los usuarios que la tengan no deben preocuparse de ver sus datos comprometidos, ni me interesan los datos de nadie ni es mi intención robar ningún tipo de información"

Estos serían los fallos de menor a mayor riesgo explicados por quién se hace llamar Dr Cooper

1. Directorios sin la debida protección en el servidor. Usando cualquier navegador de internet se puede acceder a ficheros que muestran información delicada sobre rutas y librerías de programación instaladas, llegando en algunos casos a mostrar parte del código fuente. Cualquier persona que tenga conocimientos de programación puede entender cómo funciona gran parte de la aplicación simplemente viendo estos archivos. Este fallo permite ver que el servidor corre sobre el sistema operativo Windows, el cual es más caro y a la vez más inseguro que otros sistemas operativos como Linux.

2. Configuración inadecuada de CORS, mecanismo que regula quien puede pedir información al servidor. La configuración es muy básica y basta un simple plugin en el navegador de internet para saltarse el mecanismo.

3. Archivos que realizan operaciones de escritura en la base de datos sin necesidad de credenciales. Enviando la información adecuada a determinadas URLs del dominio app-zafra.es, se pueden modificar los contenidos de la aplicación sin necesidad de inicio de sesión previo con usuario y contraseña, o cualquier otro tipo de mecanismo de seguridad.

4. Vulnerabilidad de inyección SQL (conocida como SQL Injection), esta es quizás la más importante y peligrosa de todas, permitiendo ejecutar código en lenguaje SQL, el cuál altera el contenido de la base de datos de la aplicación, editando, creando o borrando información. Esta vulnerabilidad sumada a la mala protección de ciertos directorios en el servidor hace posible leer archivos PHP que contienen código fuente, el cual revela el funcionamiento interno de la aplicación del lado del servidor. Ni que decir tiene lo dañina que puede ser esta vulnerabilidad si tratásemos con una aplicación que maneja datos confidenciales de usuarios como por ejemplo DNIs, números de teléfono, direcciones, etc.

Para demostrarlo se nos ha hecho llegar capturas de pantalla con los cambios hechos y que modifican partes e imágenes de los anunciantes, página de inicio y teléfonos.

Desde la empresa App a tu medida confirman que hubo un ataque a las 10:30h del sábado pero que se solucionó en menos de 15 min, explica Ismael Gómez, uno de los desarrolladores.

Se dieron cuenta en seguida de la manipulación por su propio sistema de evaluación y procedieron a depurar los fallos del sistema. Se cambiaron protocolos, contraseñas y restringió el acceso.

Afirman que desconocen quién es Dr Cooper, aunque saben que el ataque se dio desde Zafra y que es alguien con conocimientos sobre aplicaciones móviles.

Aseguran que todo quedó solucionado en poco tiempo y que ningún usuario se dio cuenta.

Ismael Gómez y Jesús de la Rosa Infante son parte de la dirección técnica de ésta aplicación que resultó ganadora de la licitación puesta en marcha por el Ayuntamiento antes de la feria.

Sobre los motivos de Dr Cooper él mismo ha escrito "mi única intención con esto es crear conciencia y hacer ver al Ayuntamiento de Zafra que debe tomar las medidas oportunas para que dichos fallos se solventen y prevenir que ocurran en aplicaciones futuras que puedan llegar a tener un mayor volumen de información delicada"

"Quiero dejar claro desde el principio que mi intención no es molestar ni hacer daño a la Feria de Zafra, a la cuál he tenido la oportunidad de asistir en varias ocasiones, de hecho no he borrado ni alterado información de interés para los usuarios como teléfonos de emergencias, programa o lugares. Tan solo quiero hacer constar la importancia que tienen los fallos de seguridad en aplicaciones de carácter oficial vinculada a un organismo público. Creo que es mi deber como ciudadano que se tome consciencia de la necesidad de exigir un cierto grado de seguridad y calidad a las empresas licitantes en este tipo de trabajos, ya que se requiere un alto nivel de conocimientos y solvencia técnica, tanto por parte de la empresa como por parte del personal responsable al cargo de estos temas en el Ayuntamiento.

Si les comunico esto a ustedes y no a los desarrolladores es porque temo que lo intentarán tapar arreglándolo rápido y mal, haciendo como que no ha pasado nada para no quedar mal con el Ayuntamiento. No obstante, estoy dispuesto a colaborar con ellos de manera anónima si necesitan ayuda para arreglar los fallos"