Problema de seguridad de Android afectan al 99,7% de sus teléfonos
Investigadores alemanes han descubierto que el 99,7 por ciento de los teléfonos Android tienen un importante error de autenticación que podría permitir a hackers robar las credenciales digitales a través de redes inalámbricas abiertas.
Con dichas credenciales, los piratas informáticos podrían acceder a Google Calendar, Contact y potencialmente a otras aplicaciones, conjuntamente llamadas ahora Gulp.
Esto representaría un problema de seguridad bastante vergonzoso para Google, ya que sería fácil de detectar. El problema radica en el protocolo de autenticación de Google ClientLogin para aplicaciones en Android 2.3.3 y versiones más tempranas.
Normalmente las aplicaciones usan el protocolo para solicitar un token de autenticación (authToken), que contiene las credenciales de la cuenta de Google, y que puede ser reusado por dos semanas.
Sin embargo, los investigadores descubrieron que authTokens también pueden ser fácilmente olfateados por los hackers cuando se envían a través de conexiones no encriptadas de HTTP y redes inalámbricas abiertas (Wi-Fi).
Veer: Google ofrecerá nuevas garantías para Android Market luego del ataque sufrido
De acuerdo con los investigadores Bastian Könings, Jens Nickels, y Florian Schaub de la Universidad de Ulm en Alemania, el authToken no está vinculado a ninguna sesión de usuario o dispositivo, lo que significa que el hacker puede usar el olfateado authToken para cambiar Google contactos, calendario y eventos; y así obtener acceso a cualquier otra aplicación que se basa en ClientLogin.
La noticia alentadora es que la mayoría de los problemas parecen afectar mayoritariamente a dispositivos que usan Android 2.3.4 en adelante. Todavía parece existir potenciales problemas de sincronización con Picasa, pero Google esta aparentemente trabajando en ello. La noticia negativa es que la mayoría de usuarios de Android todavía están usando versiones vulnerables del software, y los productores de Android así como las compañías de telecomunicaciones todavía no han perfeccionado el arte de entregar actualizaciones a los usuarios en una manera oportuna.
La falla de seguridad es también una reminiscencia del alboroto alrededor de la extensión de Firefox, Firesheep, que le permite a cualquiera seguir fácilmente logins de websites no asegurados en Wi-Fi networks.
Los investigadores indican que el usuario se puede proteger al mantenerse fuera de Wi-Fi networks desprotegidas, o si se tiene que conectar a una, podría apagar la sincronización automática en la configuración de Android. También ayudará que el teléfono Android olvide las redes inalámbricas a las cuales se conecta, evitando de esta manera que los hackers hagan un spoofing a nombres de Wi-Fi hotspots familiares, proceso que se conoce como el ataque del gemelo malvado.
Finalmente, los investigadores sugieren que los desarrolladores cambien todas sus aplicaciones a un protocolo HTTPS más seguro para la autentificación de ClientLogin, y que Google limite severamente la vida útil del authToken.