Con tantas discusiones sobre la seguridad que hay hoy en día, me parece algo muy curioso -y de más inaceptable-, lo que hace pocos días se descubrió por parte de Personal. Todos sabemos que nuestro navegador envía determinada información a los sitios que visitamos para, en simples términos, poder mostrar la página de la mejor manera posible. Es por eso, por ejemplo, que cuando entramos desde nuestro teléfono -sea Android, iOS, o cualquier otro sistema operativo móvil- accedemos directamente a la versión móvil, ya que se reconoce el browser desde el que estamos accediendo. También se envían otros datos como la dirección de IP, entre otras cosas. Lo particular acá, es que recientemente se confirmó que Personal, además de toda esta información, tambén envía datos mucho más sensibles, como es el caso de nuestro número de teléfono.
El problema se descubrió en el foro de Grupo Android, donde dieron una explicación técnica muy sencilla de entender:
Explicación técnica
Cada vez que visitamos un sitio en internet, nuestro navegador envía una serie de información como parte del ‘Request’, como por ejemplo la versión de nuestro navegador, limitada información geográfica, dominio, ISP, lenguaje, zona horaria, etc etc. Todo esto se envía como parte del Request HTTP en lo que se llaman HTTP Headers, que es información que compartimos con los sitios web generalmente para facilitar la navegación (por ejemplo, las páginas pueden detectar que tenemos un Android y renderizar las páginas para que se vean correctamente en nuestro dispositivo).Resulta que Telecom Personal, por oscuras razones, agrega ciertos HTTP Headers adicionales tras pasar por un ‘Proxy’ que por lo visto usna para la navegación Web 3G. Sabrán lo del proxy si alguna vez vieron errores del tipo “The Request Failed”, con un link a la Home de Personal. O un error que dice algo del “Radius Server”. Bien, entre esas Headers que se agregan, encontramos esta:
HTTP_X_MSISDN -> Acá va nuestro celular, en formato 5411XXXXXXXX.
Cualquier página interesada en ese dato, no tiene más que consultar el valor de este campo y ya tienen el número de celular de quien está visitando la página. Imaginen que
estafasservicios como el del 2112 están encantados con esta “funcionalidad”.Cabe aclarar que esto no sucede si estamos conectados vía Wifi, así como tampoco sucede si usamos un navegador distinto al navegador de serie de nuestra ROM de Personal.
Con esto, no es de extrañar que a alguno les haya pasado de entrar accidentalmente a un link de publicidad, y en cuestión de instantes les llegue un mensaje diciendo que se “suscribieron” a un servicio como el del 2020 y se les cobrará.
Luego de publicarse esto, Fabio hizo un análisis más en profundidad, y nos explicó cómo esto es probablemente una “herencia” que quedó en el proxy de la empresa hace unos 5 o 10 años: En el momento estaba diseñado para ofrecer un mejor servicio, pero con el tiempo quedó obsoleto, y se convirtió en información a la que puede acceder cualquiera.
¿A quienes afecta?
Este problema, entonces, afecta sólamente a los que utilizan Personal como su operadora en un principio, pero no todos los dispositivos. Lo más probable es que si compraron el equipo liberado sin contrato no tengan ningún problema. Tampoco afecta a los que cuenten con teléfonos BlackBerry, ya que el servidor proxy de RIM se ocupa de esto, en vez de Personal. Tampoco creo que están afectados los teléfonos con Android que hayan instalado versiones del Sistema Operativo modificadas.
Para el resto de los dispositivos, lo más seguro es que prueben entrando desde su celular, con el browser incluido a whoer.net/extended, y en la parte de “HTTP Headers” pueden buscar el dato HTTP_X_MSISDN, donde después de estos valores debería estar su número de teléfono. De ser así, vana tener que aplicar la siguiente solución.
¿Cómo lo puedo solucionar?
Solucionarlo es muy fácil, basta simplemente con usar un navegador alternativo para navegar. En el caso de Android, pueden descargar el Opera Mobile directamente desde el Android Market, o desde el App Store para los amigos de la manzana.
Y no nos podemos ir sin hacerle un importante llamado de atención a Personal para que corrija esto lo antes posible. Si bien tenemos que entender que es un error, no se puede prolongar por mucho más, teniendo en cuenta la invasión a la privacidad que esto significa.
¿Pudieron corroborarlo? ¿A algunos de ustedes les pasa? No olviden de dejar su modelo de teléfono para tener una mejor idea de los afectados en los comentarios!
Fuente | Grupo Android y Fabio