"Me acabo de tomar una selfie..."
Una historia sobre imágenes faciales e información personal filtrada a través de una app de belleza falsa
"Me tomé una foto para analizar mi piel. Después, empecé a recibir mensajes de texto extraños."
Esta historia comenzó con una usuaria de una app de belleza.
Últimamente, las apps de belleza se han vuelto muy cómodas con funciones basadas en la cámara, como el análisis del tono de piel, el diagnóstico de poros y las recomendaciones de maquillaje.
Así que esta usuaria instaló la app sin sospechar nada y se tomó una selfie sin dudarlo.
La pantalla de la app le resultaba familiar y las funciones funcionaban con normalidad.
Solo había un problema:
Esta app no era "real".
"Parece una app legítima, ¿cuál podría ser el problema?"
La investigación reveló que esta app no se distribuía en la tienda oficial de apps, sino que era una versión falsa y reempaquetada de una app de belleza legítima.
El icono, la interfaz de usuario y el proceso de análisis de la piel eran los mismos.
Pero algo completamente diferente estaba sucediendo en segundo plano.
El problema real
La aplicación de belleza falsa funcionaba de la siguiente manera:
• Se reempaquetaba y distribuía una aplicación de belleza legítima.
• Se duplicaban las pantallas de captura facial y de introducción de perfil.
• Las imágenes faciales y la información personal del usuario se enviaban a un servidor externo, simultáneamente con el procesamiento normal de las funciones. Desde la perspectiva del usuario, simplemente otorgaba acceso a la cámara, pero en realidad, tanto sus imágenes faciales como su información personal se filtraban.
El daño fue particularmente grave porque los datos faciales no eran simplemente una fotografía, sino información personal de alto riesgo que podía utilizarse como información biométrica.
¿Dónde se produjo la brecha de seguridad?
El núcleo del problema estaba claro.
• La aplicación no estaba verificada como una aplicación de distribución oficial,
• y no había forma de verificar la autenticidad de la pantalla de captura facial. En otras palabras, la mayor vulnerabilidad de seguridad residía en que "en el momento en que confiabas en la aplicación, cedías todos los permisos".
Los usuarios eran cautelosos, pero no existían medios técnicos para distinguir entre ambos.
¿Cómo se implementó la defensa? LIAPP – Detección de aplicaciones falsificadas (aplicaciones reempaquetadas)
LIAPP fue la primera solución en abordar este problema.
LIAPP identifica las aplicaciones que difieren de las aplicaciones distribuidas oficialmente mediante la comprobación de: • firmas de la aplicación, • estructura del código y • integridad de los recursos al iniciar la aplicación.
Esto le permite:
• bloquear la ejecución de aplicaciones falsas reempaquetadas,
• neutralizar la interfaz de usuario de captura facial falsa, y
• bloquear completamente el acceso dentro del entorno de la aplicación falsa.
Los usuarios ya no pueden tomarse selfies dentro de la aplicación falsa.
LIKEY – Protección de entrada de información personal
No solo se protegieron las imágenes faciales, sino también los nombres, la información de contacto y la información del perfil.
LIKEY
• proporcionó un teclado seguro para la entrada de información del perfil,
• neutralizó el robo de información mediante keyloggers.
Esto protegió la información de entrada de fuentes externas, incluso dentro de entornos de aplicaciones legítimas.
¿Qué cambió después? Los cambios tras las medidas de seguridad fueron claros:
• Bloqueo inmediato de los intentos de acceso a apps de belleza falsas
• Detención de filtraciones de imágenes faciales e información personal
• Alivio de la ansiedad de los usuarios
• Restablecimiento de la confianza en la marca
El cambio más importante fue este: Pasar del enfoque de "el usuario debe ser precavido" al de "la app debe proteger al usuario".
Lecciones de este caso
En las apps de belleza, los datos faciales no son simplemente un elemento funcional.
Los datos faciales no son solo una "foto", sino "información personal".
Por lo tanto, lo siguiente es crucial:
• Verificar primero la autenticidad de la app
• Asegurarse de que la imagen capturada no sea manipulada
• Proteger la información de entrada en todo momento
Por muy buena que sea una función, no se puede usar sin confianza.
El punto de partida para la seguridad de las apps de belleza es la "verificación de la autenticidad", no la funcionalidad.
#SeguridadDeAplicacionesDeBelleza#AdvertenciaDeAplicacionesFalsas#AplicaciónFalsa#FiltraciónDeInformaciónPersonal#ProtecciónDeInformaciónFacial#SeguridadDePrivacidad#SeguridadMóvil#FalsificaciónDeAplicaciones#AplicaciónReempaquetada#SeguridadParaSelfies#PermisosDeCámara#SeguridadDeAplicacionesMóviles#CasosDeSeguridad#HistoriaDeSeguridadTI#TendenciasDeSeguridad#LIAPP#LISS#LIKEY
