Tuesday, May 17, 2011

Investigadores alertan que el 99% de los teléfonos Android son vulnerables al robo de datos confidenciales

Tras varios análisis, investigadores de la Universidad de Ulm en Alemania han encontrado y enviado a Google una importante vulnerabilidad que afecta a la práctica total de teléfonos Android con la versión 2.3.3 y anteriores. Un fallo que permite que los posibles atacantes accedan a los calendarios, contactos y otros datos confidenciales almacenados en los servidores de la compañía a través de un fallo en el protocolo de autenticación

Al parecer, la vulnerabilidad se debe a la aplicación incorrecta de un protocolo de autenticación, ClientLogin, para las versiones 2.3.3 y anteriores del sistema operativo. El usuario, al enviar las credenciales válidas para Google Calendar, contactos u otras cuentas, la propia interfaz de programación recupera un token de autenticación que vuelve a enviarse en texto plano. Este auto envío se puede utilizar durante un máximo de 14 días en todas las solicitudes posteriores sobre el servicio, por lo que es tiempo suficiente para que un posible atacante obtenga acceso no autorizado a las cuentas. Los investigadores lo cuentan así:

Nosotros queríamos saber si era realmente posible lanzar un ataque de suplantación a los servicios de Google y ahí comenzó nuestro análisis. La respuesta corta es que sí, es muy fácil hacerlo. Esta vulnerabilidad podría ser utilizada contra cualquier usuario que utilice el dispositivo en redes bajo el control del atacante, ya que el mismo podría configurar un punto wifi con un SSID de una red inalámbrica sin cifrar. Con la configuración por defecto, los teléfonos Android se conectan automáticamente a una red ya conocida y muchas de las aplicaciones intentarán sincronizar inmediatamente

Clic..

No comments: