Lanzan la nueva app de BiciMad y hackean su API en sólo dos horas

- Si es de tu interés este artículo, apoyanos compartiendo en tus redes sociales favoritas y de esa manera también incentivando a tus amigos que crees les pueda interesar a que nos lean.

Lanzan la nueva app de BiciMad y hackean su API en sólo dos horas
publicidad
Sólo dos horas han tardado en volver a piratear la app de BiciMad, que se ha lanzado este mismo jueves. La aplicación del servicio de alquiler de bicicletas eléctricas de Madrid acaba de recibir el esperado lavado de cara que pedían los usuarios (adaptado a las pantallas de los teléfonos más recientes) y añade nuevas funciones como la comprobación del correcto anclaje de la bicicleta o un rediseñado y práctico historial de trayectos. Se puede descargar gratis para iPhone en iOS y en Google Play para dispositivos con sistema operativo Android.


BiciMad 1.0 es la primera app que se desarrolla bajo la tutela de la EMT (Empresa Municipal de Transportes). La anterior, realizada cuando el servicio lo gestionaba Bonopark, llevaba estancada casi dos años y ya no funciona, sin mensaje que avise de la existencia de una nueva. Pero la nueva app de BiciMad, no sólo no es una actualización. Sigue, además, conteniendo graves agujeros de seguridadfalta de cifrado SSL/TLS, un pobre protocolo para el inicio de sesión y paquetes de datos que se envían sin securizar. Hemos analizado estas deficiencias y comprobado cómo un usuario malicioso podría ver tus datos si utilizas la aplicación en una wifi pública.
La app envía en texto plano los datos importantes del usuario, como el DNI. "Con esta información, cualquiera puede hacerse su propia app no oficial de BiciMad, como hicimos nosotros", explica el arquitecto de software Alex Rupérez. "Pero también puede ponerse a escuchar paquetes en una wifi abierta de un Starbucks y robar cuentas o datos de los usuarios sin problemas". Esta prueba la hemos realizado con un programa 'sniffer' y hemos comprobado cómo, efectivamente, quedan "en el aire" a través de una wifi. Los datos se envían en texto plano, sin encriptar, por lo que cualquier usuario con conocimiento medio-avanzado de informática podría llegar a captarlos.


laro que esto sólo afecta en el supuesto de que un usuario navegue en una wifi abierta. Los protocolos 3G y superiores están securizados entre el dispositivo y la operadora, no así otros más antiguos. Además, sea cual sea la forma de conexión, donde los usuarios pueden sentirse seguros cien por cien es en el pago a través de tarjeta de crédito. "Se realiza a través de una web externa, que cuenta con todas las garantías de seguridad". El hecho de tener que abrir una web para realizar esta gestión, no obstante, es otra de las carencias de la app, que debería poder realizarlas internamente sin recurrir a una ventana del navegador.

"No ha sido difícil desentrañar funcionamiento de la nueva app"

Rupérez creó el año pasado una aplicación llamada MadBike junto con otro ingeniero, Javier Muñoz. En aquel momento sólo pretendían denunciar la falta de atención que la concesionaria Bonopark había puesto en este apartado del servicio. Pusieron pegatinas en las estaciones de BiciMad, acudieron a eventos organizados por impulsores del uso de la bicicleta en las ciudades e incluso optaron al certamen GoApp. Sólo dos meses después de que Radio Madrid publicara el análisis de esta app, la EMT lanzó la API abierta de BiciMad para que otros desarrolladores pudieran dar rienda suelta a otras iniciativas similares. Hasta entonces, tanto ellos como otras apps no oficiales, como Cicleta, tenían que "desmontar" la app oficial para ver cómo se comunicaba con la plataforma.
Pero insiste el desarrollador en que los datos que ofrece la EMT son insuficientes y que, aprovechando el "descubrimiento", MadBike incorporará nuevas funcionalidades, que no podrían implementar si se limitaran a utilizar la API pública del servicio. Ahora están desarrollando la nueva actualización en sus ratos libres, que incorporará la compatibilidad con la pantalla del iPhone X en su versión para iOS. Además, pronto anunciarán que van a liberar todo el código de su aplicación para que todo el mundo pueda colaborar.
Fuente: cadenaser


No hay comentarios