Robo De Credenciales en Android

Investigadores de la Universidad de Ulm (Alemania), han descubierto
un fallo en el protocolo utilizado por algunas aplicaciones para
autenticarse en ciertos servicios de Google.

El problema podría permitir a un atacante remoto tener acceso a los servicios Calendar, Picassa y la lista de contactos de Google de dispositivos Android.
Android es un sistema operativo basado en Linux y pensado especialmente para dispositivos móviles que desde 2005 está desarrollado por Google.
Actualmente posee una gran cuota de mercado en este tipo de dispositivos debido, en gran medida, a la disponibilidad libre de su código y a la gran variedad de aplicaciones gratuitas disponibles.
El fallo descubierto se encuentra en el protocolo que usa ClientLogin,
utilizado por otras aplicaciones para identificarse en los servicios de
Google a través de un token de autenticación (authToken) que tienen
validez durante el período de dos semanas. ClientLogin obtiene este
token enviando a Google el nombre de la cuenta y la contraseña.
Lógicamente, todos estos datos viajan sobre una conexión HTTPS, bajo SSL. Sin embargo, cuando una aplicación desea identificarse ante Google, las peticiones que contienen este token son enviadas sobre conexiones HTTP sin cifrar, pudiendo ser visibles por cualquier máquina que se encuentre capturando tráfico en la misma red local. Habitualmente Android se conecta a través de redes inalámbricas, y si esa red no usa cifrado o utiliza un cifrado inseguro (WEP, por ejemplo), sería equivalente a enviar las credenciales en texto plano.
Este fallo de seguridad está presente en Android 2.3.3 y versiones
anteriores. Google ha subsanado el error en la versión 2.3.4, por lo que sería recomendable actualizar a esta versión. Sin embargo, el principal problema ahora es que los usuarios de Android actualicen realmente su versión para no ser vulnerables. Esta responsabilidad suele dejarse en manos del fabricante del terminal, que personaliza las versiones del sistema operativo. Por tanto, es necesario estar al tanto de la actualización de cada fabricante de teléfonos y esto podría demorarse un tiempo indefinido.
Mientras tanto, se recomienda no usar Android en redes inalámbricas no cifradas o en las que no se confíe.

Fuente: http://www.hispasec.com/unaaldia/4587

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: