Tema: [ NOTICIA ] Robo de credenciales en Android
Ver Mensaje Individual
  #1  
Viejo 18/05/11, 14:13:07
Avatar de pirucalvin
pirucalvin pirucalvin está en línea ahora
Usuario muy activo
Mensajes: 2,216
  
Fecha de registro: dic 2010
Mensajes: 2,216
Modelo de smartphone: Nexus 4
Tu operador: R Móvil
Mencionado: 0 comentarios
Tagged: 1 hilos
Robo de credenciales en Android
Robo de credenciales en Android
-------------------------------

Investigadores de la Universidad de Ulm (Alemania), han descubierto
un fallo en el protocolo utilizado por algunas aplicaciones para
autenticarse en ciertos servicios de Google. El problema podría permitir
a un atacante remoto tener acceso a los servicios Calendar, Picassa y
la lista de contactos de Google de dispositivos Android.

Android es un sistema operativo basado en Linux y pensado especialmente
para dispositivos móviles que desde 2005 está desarrollado por Google.
Actualmente posee una gran cuota de mercado en este tipo de dispositivos
debido, en gran medida, a la disponibilidad libre de su código y a la
gran variedad de aplicaciones gratuitas disponibles.

El fallo descubierto se encuentra en el protocolo que usa ClientLogin,
utilizado por otras aplicaciones para identificarse en los servicios de
Google a través de un token de autenticación (authToken) que tienen
validez durante el período de dos semanas. ClientLogin obtiene este
token enviando a Google el nombre de la cuenta y la contraseña.
Lógicamente, todos estos datos viajan sobre una conexión HTTPS, bajo
SSL. Sin embargo, cuando una aplicación desea identificarse ante Google,
las peticiones que contienen este token son enviadas sobre conexiones
HTTP sin cifrar, pudiendo ser visibles por cualquier máquina que se
encuentre capturando tráfico en la misma red local. Habitualmente
Android se conecta a través de redes inalámbricas, y si esa red no
usa cifrado o utiliza un cifrado inseguro (WEP, por ejemplo), sería
equivalente a enviar las credenciales en texto plano.

Este fallo de seguridad está presente en Android 2.3.3 y versiones
anteriores. Google ha subsanado el error en la versión 2.3.4, por lo que
sería recomendable actualizar a esta versión. Sin embargo, el principal
problema ahora es que los usuarios de Android actualicen realmente su
versión para no ser vulnerables. Esta responsabilidad suele dejarse en
manos del fabricante del terminal, que personaliza las versiones del
sistema operativo. Por tanto, es necesario estar al tanto de la
actualización de cada fabricante de teléfonos y esto podría demorarse
un tiempo indefinido.

Mientras tanto, se recomienda no usar Android en redes inalámbricas no
cifradas o en las que no se confíe.

http://www.hispasec.com/unaaldia/4588
Responder Con Cita
Los siguientes 5 usuarios han agradecido a pirucalvin su comentario:
[ Mostrar/Ocultar listado de agradecimientos ]