Lanzan la nueva app de BiciMad y hackean su API en sólo dos horas
La nueva versión contiene los mismos agujeros que la anterior y puede poner al descubierto datos sensibles: analizamos y comprobamos con un experto sus carencias de seguridad y cómo podrían obtener tu DNI o tus trayectos
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/prisaradio/QSZEIJEKDVOCHJKICCQ2DLPVWU.jpg)
La nueva app de BiciMad ofrece información de los trayectos y permite renovar el saldo, pero contiene graves deficiencias de seguridad. / Alberto Pozas
Madrid
Sólo dos horas han tardado en volver a piratear la app de BiciMad, que se ha lanzado este mismo jueves. La aplicación del servicio de alquiler de bicicletas eléctricas de Madrid acaba de recibir el esperado lavado de cara que pedían los usuarios (adaptado a las pantallas de los teléfonos más recientes) y añade nuevas funciones como la comprobación del correcto anclaje de la bicicleta o un rediseñado y práctico historial de trayectos. Se puede descargar gratis para iPhone en iOS y en Google Play para dispositivos con sistema operativo Android.
Más información
BiciMad 1.0 es la primera app que se desarrolla bajo la tutela de la EMT (Empresa Municipal de Transportes). La anterior, realizada cuando el servicio lo gestionaba Bonopark, llevaba estancada casi dos años y ya no funciona, sin mensaje que avise de la existencia de una nueva. Pero la nueva app de BiciMad, no sólo no es una actualización. Sigue, además, conteniendo agujeros de seguridad, como la falta de cifrado SSL/TLS y que realiza envíos de paquetes de datos, como el que contiene la contraseña, sin utilizar altos niveles de securización, según expertos consultados. Hemos analizado estas deficiencias y comprobado cómo un usuario malicioso podría ver tus datos si utilizas la aplicación en una wifi pública.
La app envía en texto plano los datos importantes del usuario, como el DNI. "Con esta información, cualquiera puede hacerse su propia app no oficial de BiciMad, como hicimos nosotros", explica el arquitecto de software Alex Rupérez. "Pero también puede ponerse a escuchar paquetes en una wifi abierta de un Starbucks y robar cuentas o datos de los usuarios sin problemas". Esta prueba la hemos realizado con un programa 'sniffer' y hemos comprobado cómo, efectivamente, quedan "en el aire" a través de una wifi. Akgunos datos se envían en texto plano, sin encriptar, por lo que cualquier usuario con conocimiento avanzado de informática podría llegar a captarlos.
/cloudfront-eu-central-1.images.arcpublishing.com/prisaradio/YUOZZMYS4ZLMFHCXWYXULCOKCU.jpg)
La app de BiciMad envía los datos en texto plano, sin encriptar, por lo que se pueden ver con un software 'sniffer'. / Cadena SER
Claro que esto sólo afecta en el supuesto de que un usuario navegue en una wifi abierta. Los protocolos 3G y superiores están securizados entre el dispositivo y la operadora, no así otros más antiguos. Además, sea cual sea la forma de conexión, donde los usuarios pueden sentirse seguros cien por cien es en el pago a través de tarjeta de crédito. "Se realiza a través de una web externa, que cuenta con todas las garantías de seguridad". El hecho de tener que abrir una web para realizar esta gestión, no obstante, es otra de las carencias de la app, que debería poder realizarlas internamente sin recurrir a una ventana del navegador.
"No ha sido difícil desentrañar funcionamiento de la nueva app"
Rupérez creó el año pasado una aplicación llamada MadBike junto con otro ingeniero, Javier Muñoz. En aquel momento sólo pretendían denunciar la falta de atención que la concesionaria Bonopark había puesto en este apartado del servicio. Pusieron pegatinas en las estaciones de BiciMad, acudieron a eventos organizados por impulsores del uso de la bicicleta en las ciudades e incluso optaron al certamen GoApp. Sólo dos meses después de que Radio Madrid publicara el análisis de esta app, la EMT lanzó la API abierta de BiciMad para que otros desarrolladores pudieran dar rienda suelta a otras iniciativas similares. Hasta entonces, tanto ellos como otras apps no oficiales, como Cicleta, tenían que "desmontar" la app oficial para ver cómo se comunicaba con la plataforma.
Pero insiste el desarrollador en que los datos que ofrece la EMT son insuficientes y que, aprovechando el "descubrimiento", MadBike incorporará nuevas funcionalidades, que no podrían implementar si se limitaran a utilizar la API pública del servicio. Ahora están desarrollando la nueva actualización en sus ratos libres, que incorporará la compatibilidad con la pantalla del iPhone X en su versión para iOS. Además, pronto anunciarán que van a liberar todo el código de su aplicación para que todo el mundo pueda colaborar.
/cloudfront-eu-central-1.images.arcpublishing.com/prisaradio/76NXDR3J45J5TDFKQI4ZT5WSE4.jpg)
<p>Así es MadBike, la app no oficial de BiciMad que envía alertas de estaciones inoperativas (y mucho más)</p>
Anteriormente, otras aplicaciones como WhatsApp fueron muy criticadas por enviar datos probablemente sensibles en texto plano. Más adelante, rectifticaron e incorporaron el cifrado punto a punto en sus conexiones. A día de hoy, los grandes sitios web utilizan el protocolo SSL para toda la navegación, incluso cuando no es necesario introducir datos personales. Los sitios web y aplicaciones de banca, la administración pública o las redes sociales también utilizan protocolos cifrados.
