Life360 potencialmente deja en riesgo los datos confidenciales de sus usuarios

La aplicación de seguridad familiar Life360 no tiene algunas medidas de seguridad estándar para evitar que un pirata informático se apodere de una cuenta y acceda a información confidencial, según descubrió The Markup.

El servicio, utilizado por más de 35 millones de personas en 140 países, es una aplicación de rastreo de ubicación para que las familias estén al tanto del paradero de sus seres queridos. La aplicación comparte la ubicación en tiempo real entre los miembros del grupo, así como ubicaciones marcadas, como hogares y lugares de trabajo.

A través de una serie de pruebas, descubrimos que Life360 no proporciona varias medidas de seguridad básicas para frustrar a los piratas informáticos potenciales, incluida la limitación de los intentos fallidos de inicio de sesión y la autenticación de dos factores para las cuentas.

El Markup probó la aplicación Life360 con una serie de estándares publicados por Open Web Application Security Project (OWASP), una fundación sin fines de lucro que promueve los estándares de seguridad de las aplicaciones.

El Estándar de Verificación de Seguridad de Aplicaciones (ASVS) de la organización es una guía voluntaria de la industria y también sigue de cerca las Pautas de Identidad Digital del Instituto Nacional de Estándares y Tecnología (NIST) , que son estándares federales para la autenticación de usuarios.

Descubrimos que la aplicación de Life360 no pasó seis de las 19 pruebas que pudimos realizar para funciones de seguridad importantes, como limitar los intentos de inicio de sesión fallidos y verificar que las contraseñas se cotejen con un conjunto de credenciales violadas.

Life360 pasó otras 11 de las pruebas de ASVS; por ejemplo, verificamos que los usuarios pueden cambiar su contraseña y pueden usar contraseñas de más de 64 caracteres. Life360 pasó parcialmente dos pruebas adicionales que verifican si se notifica a un usuario sobre cambios en la cuenta.

Descubrimos que la aplicación notificaba a los usuarios sobre inicios de sesión desde varios dispositivos y solicitudes de restablecimiento de contraseña, pero no cuando se cambiaba la dirección de correo electrónico, el número de teléfono o la contraseña de la cuenta. Puede ver los resultados completos de nuestras pruebas aquí .

“Estamos totalmente en desacuerdo con las acusaciones implícitas en su serie de preguntas. Contamos con un equipo de seguridad altamente experimentado y realizamos auditorías tanto internas como externas de nuestra plataforma. Además, albergamos un programa de recompensas por errores y realizamos pruebas de penetración continuas”, dijo Chris Robertson, jefe de seguridad y operaciones en la nube de Life360, en un comunicado enviado por correo electrónico a The Markup.

Para una de las pruebas, configuramos un script que intentaba iniciar sesión en una de nuestras cuentas en el sitio web de Life360 utilizando contraseñas incorrectas más de 500 veces en poco más de 16 minutos (después de marcar una casilla de verificación inicial con la etiqueta "Soy humano").

Nos permitió iniciar sesión cuando ingresamos la contraseña correcta en el intento número 501. También hicimos esta prueba manualmente a través de la aplicación con más de 100 intentos fallidos con la contraseña incorrecta seguidos de un intento exitoso con la contraseña correcta.

En ambos casos, Life360 nunca bloqueó futuros intentos de inicio de sesión e inmediatamente permitió el acceso una vez que ingresamos la contraseña correcta.

El estándar ASVS requiere que no se permitan más de 100 intentos fallidos de inicio de sesión por hora en una sola cuenta.

Las políticas de contraseñas laxas de la plataforma, la aparente falta de límites de intentos de inicio de sesión y la ausencia de autenticación de dos factores son notables considerando la naturaleza sensible de los datos de ubicación precisos en tiempo real que utiliza y el hecho de que los niños se encuentran entre sus usuarios.

The Markup informó anteriormente que la vasta colección de datos de ubicación de Life360 lo convirtió en uno de los mayores proveedores de datos sin procesar para la industria de datos de ubicación. En enero, la empresa anunció que dejaría de vender datos de ubicación precisos (excepto a Arity de Allstate), pero seguiría suministrando datos de ubicación agregados a la empresa Placer AI.

“Una aplicación que trata con información de niños que al menos no ofrece [autenticación] multifactorial, es pura negligencia”, dijo Jim Manico, gerente de proyectos de ASVS.

Los usuarios de Life360 se han quejado de los inicios de sesión no autorizados en varias publicaciones enlas redes sociales y en las reseñas de la aplicación Life360 en las tiendas de aplicaciones de Google Play y iOS. Varios usuarios afirmaron que un pirata informático había iniciado sesión en sus cuentas y podía ver sus ubicaciones en tiempo real, sus lugares marcados como sus hogares o la ubicación en tiempo real de sus seres queridos.

Life360 respondió a cada una de las reseñas de la tienda de aplicaciones que encontramos, dirigiendo a los usuarios a su equipo de soporte.

Los revisores no respondieron a múltiples solicitudes de comentarios. “Los informes de cuentas pirateadas son extremadamente raros y generalmente son el resultado de que un miembro de la familia invite a alguien, como un amigo, a su cuenta familiar compartida”, dijo Robertson de Life360.

Los ex empleados de Life360 le dijeron a The Markup que los ejecutivos de Life360 eran muy conscientes de los problemas de seguridad, pero eligieron el crecimiento y las nuevas funciones de usuario en lugar de lidiar con una acumulación de mejoras de seguridad. Los exempleados hablaron con The Markup bajo condición de anonimato porque todavía están empleados en la industria de datos.

Life360 recientemente comenzó a posicionarse como una forma de garantizar la seguridad digital de sus usuarios, incluida la protección contra el robo de identidad, el monitoreo de crédito y las notificaciones de violación de datos. En su lenguaje de marketing , Life360 promete a los usuarios: "Protegemos sus datos para que pueda vivir más y preocuparse menos", señalando que hasta "1 millón de niños cada año" son víctimas de piratería y robo de identidad.

La empresa tampoco sigue los consejos de seguridad que comparte en su material de marketing. En un publicado en el sitio web de Life360, recomienda a los usuarios establecer contraseñas con un mínimo de 12 caracteres. Life360 solo requiere que las contraseñas contengan seis caracteres.

Los expertos advierten que las aplicaciones que permiten a las personas rastrear las ubicaciones de los demás, en particular, pueden ser mal utilizadas.

Los socios abusivos a veces usan el acceso a cuentas compartidas para seguir y acosar a los sobrevivientes, y las aplicaciones de rastreo son una gran parte de esa preocupación, dijo Thomas Ristenpart, profesor asociado en Cornell Tech y cofundador de Clinic to End Tech Abuse.

Si bien no ha visto ejemplos de abuso de Life360 por parte de acosadores, Ristenpart dijo que cualquier aplicación que proporcione datos de ubicación en tiempo real es motivo de preocupación. En su trabajo, está al tanto de las herramientas de monitoreo de ubicación que utilizan los socios abusivos que rastrean y acechan a los sobrevivientes, dijo.

“Buscamos aplicaciones como Life360 instaladas. Si los encontramos, entonces hablamos con los clientes sobre lo que quieren hacer”, dijo Ristenpart.

Mejorar la seguridad de la cuenta suele ser la principal recomendación que Ristenpart hace a las empresas de tecnología, dijo.

Cada vez más empresas exigen la autenticación de dos factores como característica de seguridad para evitar la apropiación de cuentas. En febrero, Google informó una caída del 50 por ciento en las adquisiciones de cuentas después de habilitar la autenticación de dos factores de forma predeterminada. Ring, la empresa de timbres propiedad de Amazon, habilitó la autenticación obligatoria de dos factores después de que los piratas informáticos secuestraran las cámaras para acosar a los propietarios .

Los expertos dijeron que también es importante evitar que los usuarios creen contraseñas obvias como "123456" y "contraseña", lo que Life360 no hace. La aplicación tampoco pudo marcar una contraseña violada famosa, "contraseña1", e inicio de sesión de correo electrónico "[email protected]", que el comediante Andy Sambergcompartió en broma como su inicio de sesión de HBO en los premios Emmy 2015.

Ambas credenciales han sido marcadas por la verificación de contraseña de Google Chrome, así como por la base de datos Have I Been Pwned como filtradas.

“Parece que no han hecho ni siquiera lo básico”, dijo Jim Fenton, consultor del NIST y coautor de las pautas de autenticación de la agencia. "Si puede usar la contraseña 'contraseña', eso no es genial".

Uno de los ex empleados de Life360 le dijo a The Markup que hubo un debate interno sobre la validación de correo electrónico para las cuentas. La verificación de una dirección de correo electrónico ayuda a evitar el fraude y los bots que envían spam a un servicio, y protege a los usuarios de que alguien se registre en su nombre.

El exempleado de Life360 dijo que la compañía decidió no tomar esta medida para facilitar el registro de las personas.

Cambiamos los correos electrónicos de nuestras cuentas Life360 varias veces sin recibir ningún correo electrónico de validación para asegurarnos de que fueran direcciones de correo electrónico reales. Tampoco recibimos correos electrónicos de validación al registrarnos.

Créditos: Alfred Ng y Jon Keegan

Foto de Towfiqu barbhuiya en Unsplash

También publicado aquí