• Fecha: May 18, 2011
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

b:secure MagazineParece que Android no tendrá respiro en materia de seguridad. A semanas de que la plataforma fuera criticada por los bajos niveles de seguridad y verificación que Google tiene para las aplicaciones del operativo, investigadores alemanes notificaron que el 99% de los dispositivos móviles con el OS son vulnerables a un ataque de sniffing.

De acuerdo con la información, publicada en el sitio web de la universidad, la vulnerabilidad en Android permitiría al atacante “robar” los tokens de autenticación del sistema operativo de aquellos dispositivos conectados a redes inalámbricas públicas.

EL riesgo, afirman los expertos, es que los “authToken” son utilizados por Android para sincronizar la información del dispositivo con los servicios de Google, como Gmail, Google Calendar, Contactos y Picasa.

“El riesgo de esta vulnerabilidad es que permite al atacante acceder a datos personales del usuarios. Como datos del calendario, información privada de sus contactos, direcciones de email o incluso direcciones físicas”, citan los expertos en el texto.

Pero más allá del robo de información, los investigadores advierten que al contar con los authToken del OS el criminal puede modificar direcciones de correos de contacto para que el usuario envíe datos sensibles a cuenta apócrifas, creyendo que pertenece a contactos personales o laborales.

Según la información, la vulnerabilidad fue corregida en las ultimas dos versiones más recientes de Android, la 2.3.4 y la 3.0. Sin embargo, aquellos usuarios que cuentan con un teléfono o tableta con Android OS 2.3.3 para abajo es susceptible al ataque.

El problema, señalan, es que a mayo de 2011 99% de los dispositivos con el operativo de Google corren versiones anteriores a la 2.3.4, de acuerdo con de los desarrolladores de la plataforma.

El modus operandi

La vulnerabilidad funciona de la siguiente manera: Los equipos con Android utilizan el protocolo ClientLogin para acceder a los servicios web de Google, estos solicitan los authToken del dispositivo, que contienen nombres y claves de acceso, y los transmiten a través de una conexión hypertext transfer protocol secure (https).

El problema, detectaron los investigadores, es cuando el usuario se conecta a internet en redes públicas Wi-Fi que se encuentran abiertas y dado que la información no viaja encriptada el atacante puede conocer el contenido de las transmisiones, que en este caso son los tokens de autenticación.

El mismo reporte señala que la vulnerabilidad es fácil de explotar, mediante software de sniffing como WireShark. Incluso los atacantes pueden levantar puntos de acceso falsos con nombres de redes Wi-Fi públicas reales, por ejemplo Infinitummovil o AT&T Wi-Fi, a las cuales los dispositivos móviles se conectan de forma automática una vez que el usuario ya ha navegado en ellas.

Patalla de WireShark mostrando los Authtokens del dispositivo

De acuerdo con medios de comunicación, voceros de Google han confirmado la vulnerabilidad y afirman que está corregida en las versiones más recientes del OS, por lo que invitan a los usuarios a descargar la actualización del sistema lo más pronto posible.

A pesar de ello, los investigadores reconocen que la actualización a las versiones más recientes de Android no depende tanto de los usuarios, sino que es una decisión más del desarrollador de equipos.

Motorola, por ejemplo, ha sido fuertemente criticada por los usuarios al no permitir la actualización del sistema operativo a versiones más recientes.

La empresa incluso liberó una serie de comentarios en su página de Facebook, en la cual aseguraba a sus clientes que no habría actualizaciones del OS para algunos de sus equipos.

“Debido a estos factores, Motorola informa que no se realizarán las actualizaciones de software Android 2.1 para el Motorola DEXT y el BACKFLIP. Motorola refuerza su compromiso por mantener la evolución constante de las experiencias de sus teléfonos con Android, trayendo periódicamente actualizaciones de software en sus dispositivos”, dijo en ese entonces la firma.

Fuente: b:Secure Magazine

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.