Claro logra superarse.
Marketing + Ideas brillantes != Sentido Común.
Coctel Explosivo.
Incluso me imagine una de las escenas memorables del cine de scifi, cuando en Bladrunner el replicante Roy Batty le perdona la vida a Deckard su cazador, diciendo.
"I've seen things you people wouldn't believe. Attack ships on fire off the shoulder of Orion. I watched C-beams glitter in the dark near the Tannhauser gate. All those moments will be lost in time, like tears in rain. Time to die."
Imaginaba esta misma escena, con el replicante incorporando a su frase : "Yo he visto cosas que los humanos no creerían. Vi C-beams brillando en la noche, cerca de la puerta de Tannhauser, vi las aplicaciones que Claro publicaba en la web plagadas de agujeros. Todos esos momentos se perderán en el tiempo, como lagrimas en la lluvia.
Ahora debo morir."
Si, así como un hecho fantástico las aplicaciones de Claro logran superarse en cuanto a su desprecio por la seguridad.
Meses atras fue famoso el caso de una aplicación ( QUIP )que permitía enviar fotos directo desde el iphone, la cual usaba a un sitio en internet para almacenar temporalmente la imagen, al destinatario le llegaba un link que al acceder veía la foto.
Yo escribí un post al respecto : http://d3ny4ll.blogspot.com/2010/03/epic-fail.html
"El link consistía , en la URL + 5 digitos al azar, dado que esos 5 dígitos dan una posibilidad finita (36 * 36 * 36 * 36 * 36 = 60,466,176 ) es factible acceder fácilmente a otras imágenes.
Entonces todo quedo expuesto a que un usuario con dos dedos de frente realizara una modificación en la URL que recibió ( URL tampering ) y accediera a las imágenes de otras personas."
Dando vueltas por la pagina de Claro, encontré que un par de años atrás publicaron un servicio llamado BlogClaro, en el cual mediante tu mobil podías mantener un fotolog/videolog, llamarlo Blog es muy pretencioso.
Hasta acá todo bien, servicios de fotolog existen muchos, el problema es que en el servicio de Claro una persona queda mucho mas expuesta, si bien en los fotologs y blogs aparece información del usuario, en general datos sensibles como el numero de teléfono no se publica.
Pero los cráneos que pensaron en este servicio, nunca se les ocurrió que esta información se podía usar para ( por ejemplo ) secuestros virtuales.
Según el sitio, un Blog se puede crear por SMS,Web o SIM Browsing.
¿Cómo crear un Blog Claro?
Se podrá crear un Blog por número de celular. Existen diferentes vías de creación:
A - SMS
Enviando un SMS con la palabra Menu a BLOG (2564):
Al enviar un SMS con la palabra Menu al 2564, el sistema automáticamente
le enviará el menú para poder crear, actualizar y utilizar el servicio
de BLOG.
Menú SMS:
Bienvenido a Blog Claro!
Responda:
ACTIVAR Blog
AGREGAR Comentario
VER NOMBREBLOG
NAVEGAR Blog
BUSCAR BLOG
RECUPERAR Pass
?
Respondiendo el Mensaje con cada palabra que se encuentra en MAYUSCULA (no es necesario escribir la palabra en mayúscula) ingresas a una opción distinta dentro del Blog Claro.
Luego, enviar la palabra ACTIVAR al 2564:
Para activar Blog Claro, tenés que enviar la palabra ACTIVAR al 2564.
Luego recibirás un SMS diciendo:
Excelente! Acabas de ACTIVAR tu Blog Claro!
Ahora recibí tu Password respondiendo SOLICITAR Pass
Lo increíble es que uno puede buscar a un fotolog por medio del numero de teléfono !!!
Entonces se dan situaciones bizarras como la siguiente :
Como para escribir un comentario hay que estar suscripto al sistema por medio de tu teléfono mobil, si buscamos el teléfono que dejo en el post, nos encontramos con el amigo enamoradizo.
El link en el comentario también lleva al blog, lo interesante es que el numero de telefono del post corresponde al blog, por lo tanto existe y no es un fake.
Tambien sumado a este problema de diseño, están otros problemas de programación, por ejemplo Sqlinjection y XSS.
Mediante el primero, teóricamente se podría llegar a los datos de los usuarios y con el segundo esta la posibilidad que se utilice para robar las credenciales de los mismos.
Por ultimo, existe un enlace a las fotos "Sexies" donde se incorporan imágenes de alguna manera provocativas. Para ingresar hay que colocar fecha de nacimiento para verificar que se es mayor de edad.
Lamentablemente hay un problema que pasa por encima a esta restricción, modificando el id por un numero
menos, desaparece la restricción.
Algunas fotos no tienen desperdicio, los comentarios tampoco. Nuevamente las nuevas tecnologías en manos de usuarios que no son concientizados sobre los riesgos de divulgar información, crean un cóctel explosivo.
Dejo un folleto con información sobre como actuar en caso de un secuestro virtual.
No comments:
Post a Comment