Un fallo en la seguridad de Strava permite acceder a información privada de otros usuarios
Ayer mismo os contábamos la gran polémica que se ha formado alrededor de la aplicación de deportes Strava, cuyo mapa interactivo con geolocalización permitió conocer la ubicación, forma y estructura de una gran variedad de bases militares de todo el mundo, principalmente del Ejército de Estados Unidos. Ahora, un investigador de seguridad informático ha dado con un fallo de seguridad de la app, que permite acceder a información privada y personal de otros usuarios.
Ha sido Steve Loughran, un investigador especializado en ciberseguridad, quien desvelaba en su blog hace tan solo unas horas que, mediante un fallo en la seguridad del propio mapa interactivo, cualquiera puede acceder a la información privada de otros deportistas, como su nombre, apellidos, el deporte que practican, la frecuencia cardíaca, sus tiempos, etc. Esto puede parecer algo no perjudicial para nadie, pero se vuelve mucho peor cuando pensamos en cualquiera que trabaje en empresas donde se maneje información sensible, o como ya hemos mencionado, en bases militares.
Para conseguir eliminar el anonimato de los usuarios, según el propio Steve Loughran, lo que hay que hacer es seleccionar una zona del mapa interactivo de Strava donde, por ejemplo, sepamos que hay una base militar. Tras esto, simplemente podremos dibujar una nueva ruta a realizar, para luego proceder a descargar un archivo GPX en donde se muestran las coordenadas exactas del recorrido seleccionado.
Una vez tengamos el archivo creado, podremos editarlo, con el objetivo de incluir una serie de tiempos razonables para que se simule que hemos realizado esa ruta. Tras ello, el propio sistema de Strava nos permitirá subirlo a nuestra cuenta como si nosotros mismos hubiéramos conseguido esos tiempos, un paso tras el que el mismo servicio nos recomienda ver una serie de estadísticas (mostrando toda la información ya mencionada) sobre otros corredores que hayan realizado esa ruta, indicando del mismo modo la fecha en que la realizaron, e incluso, otros lugares donde hayan corrido también. De este modo, estamos ante un fallo de seguridad menos convencional, pues no es ninguna vulnerabilidad la que nos permite acceder a los datos sensibles, sino la propia funcionalidad de la app de Strava que no parece precisamente segura.