Aún no han pasado tres días desde que os contaba que Android está en el punto de mira del malware, cuando tres investigadores de seguridad de la ULM University han detectado una vulnerabilidad de Android, que puede ser aprovechada por un atacante cuando estemos conectados en redes abiertas Wi-Fi.
El problema reside en la posibilidad de capturar datos en el proceso de autenticación de ciertos servicios mediante Android ClientLogin. ClientLogin es un software que permite la validación en varios servicios de Google (calendarios, fotos, contactos, etc.) mediante una clave denominada OAuth, que también utilizan aplicaciones como Facebook o Twitter, clave que tiene un periodo de validez de 14 días.
El ataque sería factible cuando conectamos nuestro terminal en una red Wi-Fi abierta, como aeropuertos, hoteles, etc. En estos escenarios, en teoría, un atacante podría capturar la clave OAuth y durante esas dos semanas emplearla para obtener nuestra información personal.
Una vez se apodere de nuestra clave OAuth, el atacante podrá acceder a todos nuestros servicios libremente, como si de nuestro terminal se tratara, y con mucho tiempo por delante para obtener todo lo que tengamos alojado en servicios accesibles con este método de autenticación.
El agujero de seguridad afecta a todas las versiones de Android hasta la 2.3.3, porque el proceso de validación se realiza mediante el protocolo HTTP, fácilmente rastreable por cualquiera con el equipo adecuado y los conocimientos suficientes.
La solución al problema pasa por actualizar a Android 2.3.4 porque ya emplea el protocolo HTTPS, y si no es posible, desactivar la sincronización de contenidos cuando estemos conectados a redes Wi-Fi abiertas o que no gocen de nuestra confianza.
Vía | ULM University
Imagen | DJ Hancock
Comentarios
:/ Y yo que estoy indecisa de si esperarme al iPhone 5 o comprarme el Motorola Atrix 4G :/
ni lo dudes, espera por el iPhone es un placer usarlo dia a dia ...
Mas bien la decisión seria esperar o comprar ahora, porque para cuando salga el iphone5 ya habrá otra serie de androids mas avanzados y si compras ahora seria el moto atrix o iphone4 porque el 5 no existe todavia.
Para cuando salga el iPhone 5 a la venta ni de coña habrá otra hornada de Androids a la venta.
interesante
Vaya triple te has marcado...Entonces no habrá móviles como el Sensation de HTC, no habrá ningún doble núcleo de ninguna marca... Hay fans de android, pero tu eres un señor fan de Apple
brillante
Como saber que es un placer (curiosos placeres los tuyos) usar un iphone5 sino ha salido?
ZAS!!! en toda la boca. jaja
No hay que ser muy lúcido para entender que cuando dice "el iPhone es un placer usarlo día a día" se refiere a que para él es un placer usar un iPhone existente a día de hoy, no un iPhone que todavía no ha salido al mercado.
A buen entendedor, pocas palabras bastan.
Por supuesto que sabe, el iPhone es lo mismo desde que salió (Es sarcasmo puro y duro)
-- editado por última vez a las 16:18
Lo cual invalida el argumento de la frase...
A ver hijo mío, no seas duro de mollera, esos ya están aquí.
"Otra generación" es 4 núcleos, por ejemplo, no 2 que ya hay a la venta.
Para cuando salga el iPHone 5 estarán los que sabemos que van a estar, la guerra de este año de 2 núcleos y 1 GB de RAM.
¿eh' o no eh'?
Uno encuentra lo que busca, si busco perros en un rebaño de ovejas seguramente apareceran perros. Cuantos de este blog son capases de acceder a un teléfono de esa forma? Haberlos ailos. Como bien dice F.Manuel "fácilmente rastreable por cualquiera con el equipo adecuado y los conocimientos suficientes." Si te propones seguir a una persona, tan importante que merezca la pena para ver cuando se conecta a una wifi para así yo poder conectarme con mis super conocimientos de "haker" y robarle tooodas sus cuentas y contraseñas, creo que tendría que tener cuidado porque.. ups, la gente que de verdad puede resultar interesante robar asi tienen TARIFAS DE DATOS.
Que es importante solucionar esos problemas para versiones incluso anteriores a la 2.3, si. Hay que preocuparse? no lo creo.
interesante
Cuantos de este blog sabemos? Yo por ejemplo. Y estoy seguro de que más de los que tu piensas. Sólo necesitas Wireshark y un poco de conocimiento de protocolos de red...
Por tu avatar se nota que eres un fanboy, así que no perdere tiempo rebatiendo tus argumentos.
Sobre el post, ojalá esto no afecte la popularidad de Android que, hasta donde se, va en crecimiento.
Seguramente en un par de días, aparezca algun programa que permita captar estas claves sin necesidad de conocimientos.
De igual modo que sacaron para Facebook, sacarán para esto y puede ser un desastre para cualquier que piense que no pasa nada.
Con esa mentalidad es normal que pase lo que pase después.
Fanboy? Por mi avatar? Si, pero de Android en todo caso. Eso sin embargo, no quita que capturar esos paquetes sin encriptar sea un juego de niños.
Él no te respondía a ti, le respondía a #2.
Tío, le respondía a #2. Incluso, si mira arriba de mi avatar verá "Respondiendo a #2". Un FAIL en toda medida, pero bueh, todos nos equivocamos alguna vez.
Oh, perdona
uff.. me distes un susto, pero por suerte ya tenia la version 2.3.4 (cm7.1) en mi Milestone.
Todos a poner Custom-ROMs xD. A ver si hoy sale el listo que me dio la lata otro día diciendo que Android era víctimas de ataques, pero que no tenía casi agujeros, nada que ver con Windows: ya lo veo ^^. El caso es que en Windows Update en 1 semana te sale actualización, en Android probablemente algunos nunca vean esa 2.3.4 (a no ser que pasen por CM7).
Y yo seríamente me pregunto, ya que Android es tan abierto (y tiene una filosofa parecida a Windows, me refiero: a diferencia de iOS o WP7 que sólo funcionan bajo un mismo hardware certificado, Windows funciona en cualquier X86 y Android en cualquier ARM y bueno X86) ¿En vez de depender de fabricantes operadores, no podían directamente cada fabricante lanzar sus propios drivers, Qualcomm el suyo, Samsung el suyo, PowerVR, etc. etc. y Google sólo encargarse de lanzar el paquete de actualizaciones vía OTA?
Un saludo
-- editado por última vez a las 03:45
14 Comentario moderado
10Empezamos a caernos bien XD
Y yo me lo creo, JA. Esto huele a campaña contra Android, que casualidad que hace 3 días se decía que el malware para Android ha crecido un 400%, un dato absurdo.
La casualidad es que en la noticia del malware se decía: El estudio también revela que tanto empresas como particulares estamos expuestos a un número récord de amenazas de seguridad, incluyendo principalmente los ataques dirigidos a las redes Wi-Fi.
Y vaya, 3 días después me encuentro esta noticia, casualidades de la vida?
15 Comentario moderado
40pues si ese fallo afecta a OAuth no sé si también afectará a otros sistemas que lo usen. en principio OAuth es seguro, debe ser un bug concreto de la implementación de cliente Android.
Ahora me pregunto algo muy importante, se verá obligado Google ha que venga parte del sistema bloqueada?
Me explico, talvez una solución para el malware que surge o posibles problemas sea "cerrar" un poco el sistema al usuario. Si se quiere igual de abierto, pues podrían poner un modo administrador y listo.
Es que vas al market y cualquier app te tide acceso al movil entero y ninguna app necesita acceso a todo el movil. Como he dicho antes, Google podría hacer que no se tuviese tanto acceso al terminal si no se tueve activado un modo administrador.
22 Comentario moderado
30Esto es un agujero aplicable al 90% de las webs que hacen el login por http (genbeta, por ejemplo) no me parece extremadamente grave pero si preocupante, no por el agujero en si, sino por como apunta lesan más arriba la automatización del mismo (hablamos de un servicio con millones de usuarios).
Yo evitaré usar redes wifi dentro de mis posibilidades hasta que haya android 2.3.4 para mi movil (uso CM7 pero va por la 2.3.3 en este modelo)
No voy a negar que soy bastante fanboy de android, pero creo que si afectase a iphone, wp, etc no sería demasiado crítico
A mi me preocupa mas que el protocolo OAuth sea el que tenga el problema. Yo uso el OpenID de Verisign, tambien para mi cuenta de Genbeta, que usa HTTPS, pero no se si tendra agujeros aun no detectados.
28 Comentario moderado
5Toca actualizar, pues. Yo por si acaso, de siempre tengo la costumbre de intentar conectarme vía https, y no loguearme nunca en redes ajenas, incluso cableadas.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect