miércoles, abril 04, 2018

Cómo tu Gmail le dice a cualquier Cambridge Analytica qué terminales usas #Gmail #Privacidad #CambridgeAnalytica

La mayoría de tablets y teléfonos móviles Android de última generación solicitan una cuenta de correo electrónico en los primeros pasos de la instalación y configuración de su sistema operativo. Es necesaria, entre otras cosas, para realizar las copias de seguridad de los contenidos almacenados en el dispositivo móvil: contraseñas de acceso a redes WiFi, el historial de llamadas, contactos, fotografías, datos de los ajustes de las aplicaciones, mensajes SMS enviados, etcétera. Es decir, sacar el máximo partido de los servicios de Google desde tu Android, de igual forma que Apple hace con iOS y su Apple ID en terminales iPhone & iPad.

Figura 1: Cómo tu Gmail le dice a cualquier Cambridge Analytica qué terminales usas

Entre otras de las muchas funciones que existen, el tener asociado un dispositivo a tu cuenta de Google permite recuperar el dispositivo móvil en caso de pérdida a través de los servicios que Google ofrece.

Figura 2: Cuentas de correo electrónico vinculadas a un dispositivo móvil e
información  que se almacena cuando el dispositivo realiza una copia de seguridad.

En otros casos, durante el proceso de creación de la cuenta de correo electrónico se solicita un número de teléfono para posteriormente utilizar el dispositivo móvil para fortalecer el sistema de autenticación en la identidad digital con un Segundo Factor de Autenticación (2FA) que, en el caso de Gmail, suele ser un código enviado por SMS o una llamada telefónica.

Figura 3:Protección de la cuenta de e-mail con un 2FA

En este artículo veremos lo fácil que es obtener los dispositivos móviles con sistema operativo Android a los que se encuentra vinculada una cuenta de correo electrónico de Google, y qué pasos habría que realizar en el dispositivo móvil para que su marca y modelo no resulten expuestos en Internet.

Obtención de cuentas de correo electrónico de Gmail

Para poder obtener los dispositivos Android vinculados a una identidad digital de Google, el primer paso es conocer una cuenta de correo electrónico de Gmail. Hoy en día esto es muy sencillo. Por ejemplo, basta consultar el las bases de datos de claves públicas PGP a partir de un determinado nombre de dominio, o realizar una búsqueda en Pastebin.

Figura 4: Cuentas de Gmail en Pastebin

Por supuesto, a veces es mucho más sencillo, haciendo un poco de Hacking con Buscadores en Internet, o simplemente con preguntarle a una persona por su dirección de correo electrónico en cualquier formulario online. Cualquier empresa en la que te hayas registrado con tu cuenta de Google tendrá esa información, y si has puesto esa cuenta en tu tarjeta de visita, cualquier persona a la que le hayas entregado esa tarjeta.

Intento de recuperación de la contraseña

Seleccionada una de las indentidades digitales, cuando no solicite su contraseña de acceso, en lugar de introducir la contraseña (no la sabemos), indicamos al sistema que hemos olvidado la cuenta de correo electrónico. El sistema solicitará la última contraseña utilizada, tampoco la sabemos, por lo que deberemos indicarle “Probar de otra manera”.

Figura 5: Pasos para la recuperación de una contraseña de Gmail

Si la cuenta de correo electrónico de gmail se encuentra vinculada a un número de teléfono móvil para utilizarle como 2FA o para intentar recuperar la contraseña como es nuestro caso, el sistema solicitará el número de teléfono y nos mostrará los dos últimos dígitos del número de teléfono vinculado a la cuenta de correo de Gmail. Como tampoco conocemos este dato, indicamos al sistema “No tengo mi teléfono”.

En este punto, si la identidad digital de Gmail está vinculada al menos a un dispositivo Android, Google mostrará la marca y el modelo de los dispositivos a los que se encuentra vinculado. También se mostrará la foto que el usuario haya configurado como avatar en el perfil de la cuenta de correo electrónico.

Figura 6: Dispositivos móviles vinculados y avatar

Además de mostrar los dispositivos móviles vinculados a la cuenta de correo electrónico, les muestra en orden de temporalidad de vinculación de la cuenta. Para este ejemplo, el primer dispositivo móvil vinculado a la cuenta de correo fue el “bq Aquaris” y el último el “Huawei Y5ll”.

¿Por qué ocurre esto?

Dado que es necesario vincular una cuenta de correo electrónico a un dispositivo Android, si ésta de Google, como por ejemplo las cuentas de correo electrónico de Gmail, puedes tener la certeza de que los dispositivos móviles a los que estén vinculados esa cuenta estarán expuestos para cualquier usuario que siga los procesos anteriores.

Figura 7: Cuentas de e-mail vinculadas a un Android

Si quieres ver qué cuentas de correo electrónico de Gmail están ofreciendo esta información a terceros, en tu dispositivo Android vete a Ajustes > Cuentas > Google y allí aparecerán las cuentas de correo electrónico que están revelando la información de tus dispositivos móviles Android.

Cómo evitarlo

La forma de evitar esta fuga de información de Google en dispositivos Android es utilizar una cuenta de correo electrónico que no sea de Gmail. Así, no aparecerá ninguna cuenta de correo electrónico en el apartado Ajustes > Cuentas > Google y podrás tener la certeza de que nadie pueda tener la información de los dispositivos móviles que utilizas o cuáles son las tendencias y servicios que puedes utilizar en Internet.

Si tienes un terminal Android y quieres saber más de seguridad en él, el libro de Malware en Android explica muchos conceptos útiles, ya que los "malos" los explotan para su beneficio.

Consecuencias

Además, sabiendo la cuenta de correo electrónico de una persona (mejor si es personal), los dispositimos móviles que usa o ha utilizado, los dos últimos números de teléfono en caso de haber proporcionado el número a la cuenta de correo electrónico y la fotografía vinculada a la cuenta de correo electrónico, es información muy a tener en cuenta a la hora de preparar un ataque de ingeniería social utilizando técnicas de phising y teniendo presente el tratamiento que Google hace a la hora de la clasificación de los correo electrónicos como spam en función de la configuración que tiene el registro spf (~spf) en su servidor de correo electrónico.

Pero mucho peor es que estos datos, que se pueden "weaponizar", darán a empresas tipo Cambridge Analytica información de todas y cada una de las personas que tengan en sus bases de datos. Un dispositivo móvil dice mucho de una persona, y los expertos en Data Scientist podrán enriquecer los algoritmos que apliquen sobre ti utilizando esa información. Que tus datos queden expuestos sin tu control en la web para todo el mundo es lo mismo que si pusieran la marca del resto de tus electrodomésticos, tu coche, tu ropa interior, etcétera.

Figura 8: CEO de Cambridge Analytica en 2016

Visto como se han utilizado "fake news" en elecciones en sociedades utilizando algoritmos de selección de objetivos usando Data Scientist que generaban los grupos objetivo para fabricarle la Fake News adecuada, cualquier información de una persona debería estar mucho más controlada.

Autor: Amador Aparicio de la Fuente (@amadapa), escritor de libro "Hacking Web Technologies"

No hay comentarios:

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares