BiciMad y sus problemas de seguridad

Durante los últimos días, el nuevo servicio de alquiler de bicicletas en Madrid ha tenido bastante protagonismo en los medios y redes sociales, aunque tal vez no por los motivos que los responsables del Ayuntamiento quisieran. Vaya por delante que cualquier iniciativa que abogue por mejorar la movilidad y reducir la contaminación en las grandes ciudades cuenta con nuestro apoyo, aunque en este post vamos a centrarnos en la parte técnica y de seguridad que implica poner en marcha un servicio de este tipo.

La primera noticia que tuvimos de BiciMad fue a principios de la semana pasada, con la presentación de este servicio y sus problemas durante las primeras horas para atender todas las peticiones de alta de los usuarios. Además, muchos de los puntos de registro o “tótems” puestos a disposición de los usuarios no funcionaban, con lo que el estreno de BiciMad fue un poco caótico.

totem1

Obviamente, hay un límite de peticiones que puede procesar un servidor a la hora de dar de alta a los usuarios, y si este es muy elevado puede llevar al colapso del sistema. Sin embargo, las primeras informaciones hablaban de una cantidad que rondaba las 1000 peticiones de alta durante las primeras horas, cifra aparentemente insuficiente para tumbar un servidor pero que, en este caso, impidió el correcto funcionamiento del servicio. Afortunadamente, este problema quedó subsanado tras unas cuantas horas de espera y ya se pudo dar de alta con normalidad.

No obstante, siempre que se ofrece la posibilidad de interactuar con un dispositivo de este tipo, ubicado en plena calle y que cuenta con la posibilidad de introducir datos, aparece gente a la que le gusta investigar cómo está hecho y le busca las cosquillas al sistema. Así pues, no pasó ni un día desde que se puso en marcha BiciMad hasta que tuvimos las primeras noticias de una “auditoría” realizada por un investigador curioso que deseaba conocer más a fondo la seguridad de este sistema.

En un interesante artículo escrito en su blog analiza la seguridad de la aplicación para móviles utilizada por BiciMad, consiguiendo acceder a datos más que interesantes que se almacenan en los servidores de BiciMad y que, en teoría, no deberían ser accesibles.

parentdir

Si estamos al tanto de lo que suelen almacenar algunos de estos ficheros, sabremos que se puede obtener información muy suculenta de ellos, pero es que además este investigador obtuvo la clave RSA privada que permite enviar notificaciones a los dispositivos que se hayan bajado la aplicación haciéndose pasar por BiciMad, todo esto suponiendo que esa clave aún esté en uso, algo que el investigador pone en duda.

No ha sido el único caso relacionado con la seguridad de BiciMad y sus terminales o “tótems” situados en varios puntos de la capital puesto que en las últimas horas se han visto varios de estos terminales mostrando imágenes y vídeos de contenido erótico, consecuencia de la pobre seguridad y de las ganas de alguien de trolear al personal.

Está claro que estos desarrollos son procesos complejos y con muchas variables que normalmente impiden que la seguridad sea una de las prioridades. No obstante, tratándose de un servicio público que van a utilizar miles de usuarios cediendo sus datos, no hubiera estado de más que se hubiese realizado una auditoría de la aplicación para evitar que hoy estemos hablando de su inseguridad.

No es el primer caso de este tipo ni será el último. Lamentablemente, cuando hablamos de kioskos interactivos son muchos los ejemplos que podemos poner, demostrando que su seguridad deja mucho que desear. Por nuestra parte, nos quedamos con un ejemplo que vimos en la pasada edición del Mobile World Congress en el que alguien pasó unos momentos divertidos jugando con una de estas terminales y dejó su firma particular.

 wmc2014

 

Josep Albors

Agujero de seguridad en el doble factor de autenticación de PayPal