Si compras en Shein con el móvil ten cuidado, su app escondía un peligroso bug

Si usáis o habéis utilizado en algún momento la app del gigante asiático de la moda Shein, que sepáis que vuestros datos han podido estar expuestos por culpa de un extraño bug mediante el cual, de forma periódica, la propia aplicación leía, capturaba y enviaba el contenido de nuestro portapapeles a un servidor remoto.

Y no es este el primer problema de seguridad que vemos relacionado con la moda y la nuevas tecnologías, pues ya Instagram fue caldo de cultivo para estafas de todo tipo mientras que algunas de las mejores apps para comprar ropa online están en el foco de hackers y auditores.

No en vano, tal y como nos contaban los compañeros de The Hacker News, ha sido el equipo de investigación de Microsoft 365 Defender el que descubrió este problema en la versión 7.9.2 de la app de Shein, publicada en las plataformas el pasado 16 de diciembre de 2021.

Por fortuna y antes de alarmaros más, debéis saber que todo se corrigió en mayo de 2022, por lo que la actual versión 9.0.0 con fecha del 7 de marzo de 2023 ya está libre del problema, que además el minorista chino reconoce abiertamente indicando que no se ha advertido ninguna intención maliciosa ni el uso para ningún fin de estos datos recopilados:

En Shein no somos conscientes de forma específica de ninguna intención maliciosa detrás de este comportamiento, pero esta función no es necesaria para realizar tareas en la aplicación por lo que ha sido eliminada.

Un esquema del peligroso 'bug' encontrado en la app de Shein.

En las publicaciones sobre el bug se añaden esquemas como el que adjuntamos justo aquí arriba, informando además que al iniciar la app después de copiar cualquier contenido en el portapapeles se activaba automáticamente esta solicitud HTTP POST que enviaba los datos al servidor "api-service[.]shein[.]com", que al menos como veréis era interno de la compañía.

En su cruzada por mejorar la seguridad en Android, desde Google se han realizado mejoras que incluyen la visualización de mensajes cuando una app accede al micrófono, a la cámara o al propio portapapeles, además de poder activar y desactivar de forma proactiva este acceso a los datos si las aplicaciones no se están ejecutando en primer plano.

Los investigadores Dimitrios Valsamaras y Michael Peck afirmaban que a pesar de que este tipo de datos no parecen tan útiles, de ellos sí pueden extraerse detalles importantes pues los usuarios suelen copiar datos de envío de paquetería o números de cuenta a la hora de comprar en apps, por lo que el bug sí era realmente peligroso:

Teniendo en cuenta que los usuarios de dispositivos móviles a menudo usan el portapapeles para copiar y pegar información confidencial, como contraseñas o información de pago, el contenido del portapapeles puede ser un objetivo atractivo para los ciberataques. Aprovechar los portapapeles puede permitir a los atacantes recopilar información de destino y filtrar datos útiles.

Lo decimos siempre, tened cuidado en Internet porque los mejores antivirus sois vosotros mismos y también obviamente quién más cuidará de vuestra privacidad, y en este caso sabed que la app de Shein ya está libre de este tipo de vulnerabilidades desde hace bastante tiempo... ¡No os preocupéis!

Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.