Aún no han pasado tres días desde que os contaba que Android está en el punto de mira del malware, cuando tres investigadores de seguridad de la ULM University han detectado una vulnerabilidad de Android, que puede ser aprovechada por un atacante cuando estemos conectados en redes abiertas Wi-Fi.
El problema reside en la posibilidad de capturar datos en el proceso de autenticación de ciertos servicios mediante Android ClientLogin. ClientLogin es un software que permite la validación en varios servicios de Google (calendarios, fotos, contactos, etc.) mediante una clave denominada OAuth, que también utilizan aplicaciones como Facebook o Twitter, clave que tiene un periodo de validez de 14 días.
El ataque sería factible cuando conectamos nuestro terminal en una red Wi-Fi abierta, como aeropuertos, hoteles, etc. En estos escenarios, en teoría, un atacante podría capturar la clave OAuth y durante esas dos semanas emplearla para obtener nuestra información personal.
Una vez se apodere de nuestra clave OAuth, el atacante podrá acceder a todos nuestros servicios libremente, como si de nuestro terminal se tratara, y con mucho tiempo por delante para obtener todo lo que tengamos alojado en servicios accesibles con este método de autenticación.
El agujero de seguridad afecta a todas las versiones de Android hasta la 2.3.3, porque el proceso de validación se realiza mediante el protocolo HTTP, fácilmente rastreable por cualquiera con el equipo adecuado y los conocimientos suficientes.
La solución al problema pasa por actualizar a Android 2.3.4 porque ya emplea el protocolo HTTPS, y si no es posible, desactivar la sincronización de contenidos cuando estemos conectados a redes Wi-Fi abiertas o que no gocen de nuestra confianza.
Vía | ULM University
Imagen | DJ Hancock
Ver 32 comentarios
32 comentarios
logoff
pues si ese fallo afecta a OAuth no sé si también afectará a otros sistemas que lo usen. en principio OAuth es seguro, debe ser un bug concreto de la implementación de cliente Android.
cmacmd
Todos a poner Custom-ROMs xD. A ver si hoy sale el listo que me dio la lata otro día diciendo que Android era víctimas de ataques, pero que no tenía casi agujeros, nada que ver con Windows: ya lo veo ^^. El caso es que en Windows Update en 1 semana te sale actualización, en Android probablemente algunos nunca vean esa 2.3.4 (a no ser que pasen por CM7).
Y yo seríamente me pregunto, ya que Android es tan abierto (y tiene una filosofa parecida a Windows, me refiero: a diferencia de iOS o WP7 que sólo funcionan bajo un mismo hardware certificado, Windows funciona en cualquier X86 y Android en cualquier ARM y bueno X86) ¿En vez de depender de fabricantes operadores, no podían directamente cada fabricante lanzar sus propios drivers, Qualcomm el suyo, Samsung el suyo, PowerVR, etc. etc. y Google sólo encargarse de lanzar el paquete de actualizaciones vía OTA?
Un saludo
jayjayjay_92
Esto es un agujero aplicable al 90% de las webs que hacen el login por http (genbeta, por ejemplo) no me parece extremadamente grave pero si preocupante, no por el agujero en si, sino por como apunta lesan más arriba la automatización del mismo (hablamos de un servicio con millones de usuarios).
Yo evitaré usar redes wifi dentro de mis posibilidades hasta que haya android 2.3.4 para mi movil (uso CM7 pero va por la 2.3.3 en este modelo)
No voy a negar que soy bastante fanboy de android, pero creo que si afectase a iphone, wp, etc no sería demasiado crítico
jSan
uff.. me distes un susto, pero por suerte ya tenia la version 2.3.4 (cm7.1) en mi Milestone.
wolf32
Ahora me pregunto algo muy importante, se verá obligado Google ha que venga parte del sistema bloqueada?
Me explico, talvez una solución para el malware que surge o posibles problemas sea "cerrar" un poco el sistema al usuario. Si se quiere igual de abierto, pues podrían poner un modo administrador y listo.
Es que vas al market y cualquier app te tide acceso al movil entero y ninguna app necesita acceso a todo el movil. Como he dicho antes, Google podría hacer que no se tuviese tanto acceso al terminal si no se tueve activado un modo administrador.
acerswap
A mi me preocupa mas que el protocolo OAuth sea el que tenga el problema. Yo uso el OpenID de Verisign, tambien para mi cuenta de Genbeta, que usa HTTPS, pero no se si tendra agujeros aun no detectados.
David
Toca actualizar, pues. Yo por si acaso, de siempre tengo la costumbre de intentar conectarme vía https, y no loguearme nunca en redes ajenas, incluso cableadas.
Usuario desactivado
:/ Y yo que estoy indecisa de si esperarme al iPhone 5 o comprarme el Motorola Atrix 4G :/
davidpacheco
Y yo me lo creo, JA. Esto huele a campaña contra Android, que casualidad que hace 3 días se decía que el malware para Android ha crecido un 400%, un dato absurdo.
La casualidad es que en la noticia del malware se decía: El estudio también revela que tanto empresas como particulares estamos expuestos a un número récord de amenazas de seguridad, incluyendo principalmente los ataques dirigidos a las redes Wi-Fi.
Y vaya, 3 días después me encuentro esta noticia, casualidades de la vida?
Angel Bolaño
Uno encuentra lo que busca, si busco perros en un rebaño de ovejas seguramente apareceran perros. Cuantos de este blog son capases de acceder a un teléfono de esa forma? Haberlos ailos. Como bien dice F.Manuel "fácilmente rastreable por cualquiera con el equipo adecuado y los conocimientos suficientes." Si te propones seguir a una persona, tan importante que merezca la pena para ver cuando se conecta a una wifi para así yo poder conectarme con mis super conocimientos de "haker" y robarle tooodas sus cuentas y contraseñas, creo que tendría que tener cuidado porque.. ups, la gente que de verdad puede resultar interesante robar asi tienen TARIFAS DE DATOS.
Que es importante solucionar esos problemas para versiones incluso anteriores a la 2.3, si. Hay que preocuparse? no lo creo.