Nuestro sitio utiliza cookies para garantizar una mejor experiencia de navegación. OK

El 99% de los dispositivos Android vulnerables a un ataque de sustracción de datos

 

(Foto: IntoMobile.com)

Esta es la conclusión a la que han llegado unos investigadores de la Universidad de Ulm (Alemania), que han descubierto que cualquier dispositivo mócil con la versión de Android anterior a la 2.3.3 es vulnerable a cualquier ataque de sustracción de datos ya que cuenta con un protocolo de autenticidad muy débil.

Básicamente, en otras palabras, esto quiere decir que cada vez que un usuario inicia sesión en un servicio como Twitter, Facebook o una nueva cuenta de Google por ejemplo, la interfaz de programación recupera un Token de autenticidad que se envía en texto plano. Debido a que el authToken se puede utilizar durante un máximo de 14 días en todas las solicitudes posteriores del servicio, la información se deja abierta a disposición de hackers.

Los investigadores han confirmado:

"Para conseguir authTokens a esta gran escala, bastaría con que un adversario configurase un punto de acceso wifi con un SSID común de una red inalámbrica sin cifrar, por ejemplo, T-Mobile, MoviStar, Telefónica, Starbucks, etc. Con la configuración por defecto, los teléfonos Android se conectarían automáticamente a una red ya conocida y muchas de las aplicaciones intentarían sincronizarse inmediatamente. Mientras se está sincronizando (a no ser que el adversario adelante las solicitudes), el adversario captura los authTokens de cada servicio que intentó sincronizar".

Google ha creado un parche de seguridad para este agujero a principios de este mes con el lanzamiento de la nueva versión de Android 2.3.4, pero cualquier versión anterior todavía transmite los datos mencionados a través de canales no cifrados. Eso significa que más del 99% de los teléfonos Android son vulnerables a los ataques.

Las aplicaciones que utilicen ClientLogin deberían empezar inmediatamente hacerlo de forma encriptada, en https, han dicho los investigadores.

¿Qué puedes hacer por ahora? Una portavoz de Verizon dijo que los usuarios deben considerar el uso de sus dispositivos sólo en redes seguras.

Vamos a ver cómo continúa esta historia ...

 

Sin comentarios

Escribir un nuevo comentario:

Nuestro sitio utiliza cookies para garantizar una mejor experiencia de navegación. Más información

OK