Verónica Valeros (@_Veronica_) y Jan Fajfer (@janfajfer), ambos investigadores del proyecto Civil Sphere, una iniciativa del Laboratorio Stratosphere y la Universidad Técnica Checa, llevaron a cabo una investigación donde descubrieron que la aplicación de transporte "BA Cómo Llego" filtra información de los usuarios.
La aplicación "BA Cómo Llego" es un desarrollo del Gobierno de la Ciudad de Buenos Aires, cuya finalidad es ayudar a los usuarios a poder moverse en la ciudad y alrededores, brindando diferentes opciones con los transportes públicos (subte, tren, colectivo). También provee rutas en caso de que la movilidad se quiera realizar en bicicleta, auto o incluso caminando. El uso es sencillo: uno pone desde y hacia dónde quiere ir, y la app busca cuál es el mejor recorrido posible, brindando diferentes alternativas de viaje. Una funcionalidad es que el usuario puede utilizar su ubicación actual en cualquiera de los campos, facilitando así el uso.
Los investigadores descubrieron diferentes errores en la aplicación, siendo el más grave de ellos que no protege en forma adecuada la información que el usuario ingresa. Tanto el destino como el origen son enviados a los servidores de la aplicación en texto plano, sin cifrar. Lo que es aún más grave es que también se envía la ubicación exacta del usuario (coordenadas del GPS), incluso si este no la está utilizando en los campos de origen o destino. Esto significa que toda esa información es transmitida sin ocultar, por lo que cualquier persona que esté en la misma red puede verla y utilizarla a su antojo.
Otro de los errores encontrados, que se suma al envío de información sin cifrar, es que la aplicación va enviando a los servidores la data a medida que el usuario va tipeando, y eso permite generar perfiles de usuario, siempre a través de extraer la información dentro de la misma red.
Por último, descubrieron también que todas las consultas que los usuarios realizan son enviadas por duplicado a los servidores, lo cual significa que la aplicación hace que el usuario utilice más del doble de ancho de banda de lo que debería utilizar si no tuviese este error de configuración.
Es común pensar "pero eso a mí nunca me pasaría" o "esas cosas solo suceden en las películas", pero no se necesitan grandes conocimientos informáticos ni herramientas muy sofisticadas para llevar a cabo este tipo de espionaje. A mayor exposición de una persona mayor es el riesgo de que sufra algún tipo de ataque informático o espionaje, pero la realidad indica que todos podemos ser blanco de este tipo de actividades.
Estos problemas afectan a todas las versiones para Android y la versión 5.6.0 de iOS. La recomendación que se hace a los usuarios es que desinstalen la aplicación y utilicen otras (Moovit tiene problemas similares, por lo que también se desaconseja su uso). La recomendada por nosotros es Google Maps, que tiene la ventaja de venir preinstalada en Android y tiene un muy buen funcionamiento para realizar viajes en transporte público, aparte de que también indica estado real del tránsito y servicios. Para iOS está disponible para descargar aquí.
En este link se puede ver el artículo original, con explicaciones más detalladas y más técnicas acerca de todo esto. ¡Buen viaje!