La app Camera360 Ultimate puede dejar a la vista tus fotos privadas

Desde la empresa FireEye se advierte de la existencia de un fallo de seguridad en la app para  dispositivos móviles Android “Camera360 Ultimate”. Esta app se utiliza para editar fotografías en el móvil. Recursos afectados El fallo de seguridad afectaría a todas las versiones de la app: la actual 6.2. y las anteriores  6.1., 6.1.2 y 6.1.1. Solución El fallo de seguridad en la Camera360 todavía no ha sido resuelto. Hasta que se publique una actualización de la app que solucione el problema, las recomendaciones que se deben seguir son las siguientes: No hacer uso de la aplicación. Desinstalarla del dispositivo si ya no la estaba utilizando. Si se desea continuar utilizando, cosa que no se recomienda hasta que se solucione el                                                                                                                 problema, no almacenar en su nube (servicio cloud) imágenes de ningún tipo, pero                                                                                                         especialmente aquellas que pudieran poner en riesgo la privacidad. Como norma general, no conectarse a aplicaciones móviles a través de una red wifi que                                                                                                            no esté   correctamente protegida o sea pública. Por otra parte, teniendo en cuenta las nuevas tendencias utilizadas por los ciberdelincuentes                                                                                                         para tratar de engañar a los usuarios para que descarguen aplicaciones maliciosas, es                                                                                                         importante considerar los siguientes aspectos a la hora de instalar aplicaciones desde el                                                                                                                  Market de Android Observar la procedencia de la aplicación. El nombre de desarrolladores de aplicaciones                                                                                                       populares es un  buen indicador para comprobar la legitimidad de la aplicación. Comprobar la puntuación (rating), así como los comentarios de los usuarios, es otra                                                                                                             fuente de información con la que podremos conocer las experiencias de los usuarios a la                                                                                                        hora de instalar y usar la aplicación. Investigar otras fuentes de información independientes al Market de Android es                                                                                                               también recomendable si dudamos de la legitimidad de la aplicación. Detalles La app tiene un servicio gratuito de almacenamiento en la nube que el usuario puede utilizar                                                                                                          para almacenar en álbumes las imágenes que se ha editado y trabajado con “Camera360                                                                                                                   Ultimate”, por ejemplo, poniéndoles un filtro a las fotos o cambiándoles el color o la textura.  El fallo reside en que cuando el usuario accede a su álbum de “Camera 360” en la nube, su                                                                                                          móvil no se comunica con ésta de forma segura (encriptada, HTTPS) sino que los datos                                                                                                                 de autenticación del usuario (su contraseña) viajan de forma desprotegida desde el móvil                                                                                                             hasta la nube (HTTP). Esta desprotección de la contraseña, cuando es enviada (no encriptada) desde el móvil a la                                                                                                                 nube cuando el usuario quiere entrar (autenticarse) en su álbum privado de imágenes en la                                                                                                            nube de “Camera 360”, hace que cualquier ciberdelincuente pueda utilizar herramientas                                                                                                                        para robar esa contraseña, accediendo por tanto a todo el repertorio de imágenes privadas                                                                                                             que el usuario tenga en su álbum. Fuente: OSI