Investigadores alertan que el 99% de los teléfonos Android son vulnerables al robo de datos confidenciales
Tras varios análisis, investigadores de la Universidad de Ulm en Alemania han encontrado y enviado a Google una importante vulnerabilidad que afecta a la práctica total de teléfonos Android con la versión 2.3.3 y anteriores. Un fallo que permite que los posibles atacantes accedan a los calendarios, contactos y otros datos confidenciales almacenados en los servidores de la compañía a través de un fallo en el protocolo de autenticación
Al parecer, la vulnerabilidad se debe a la aplicación incorrecta de un protocolo de autenticación, ClientLogin, para las versiones 2.3.3 y anteriores del sistema operativo. El usuario, al enviar las credenciales válidas para Google Calendar, contactos u otras cuentas, la propia interfaz de programación recupera un token de autenticación que vuelve a enviarse en texto plano. Este auto envío se puede utilizar durante un máximo de 14 días en todas las solicitudes posteriores sobre el servicio, por lo que es tiempo suficiente para que un posible atacante obtenga acceso no autorizado a las cuentas. Los investigadores lo cuentan así:
http://bitelia.com/2011/05/investig...n-vulnerables-al-robo-de-datos-confidenciales
-----------
Personal: lo que esta en negrilla, es uno de los problemas de la no distribucion de actualizaciones por los proveedores, y eso que hay hablan de 2.2.2, cuando muchos estan en la 2.1 (y varios en anteriores que ni se pueden actualizar), al unirse con la fragmentacion y los telefonos de marcas no muy conocidas seran facilmente atacados, creo que llego el momento de ver que tan comprometidos estan los fabricantes con android, y ver como solucionan este bug de seguridad pronto los de google...
Tras varios análisis, investigadores de la Universidad de Ulm en Alemania han encontrado y enviado a Google una importante vulnerabilidad que afecta a la práctica total de teléfonos Android con la versión 2.3.3 y anteriores. Un fallo que permite que los posibles atacantes accedan a los calendarios, contactos y otros datos confidenciales almacenados en los servidores de la compañía a través de un fallo en el protocolo de autenticación
Al parecer, la vulnerabilidad se debe a la aplicación incorrecta de un protocolo de autenticación, ClientLogin, para las versiones 2.3.3 y anteriores del sistema operativo. El usuario, al enviar las credenciales válidas para Google Calendar, contactos u otras cuentas, la propia interfaz de programación recupera un token de autenticación que vuelve a enviarse en texto plano. Este auto envío se puede utilizar durante un máximo de 14 días en todas las solicitudes posteriores sobre el servicio, por lo que es tiempo suficiente para que un posible atacante obtenga acceso no autorizado a las cuentas. Los investigadores lo cuentan así:
Nosotros queríamos saber si era realmente posible lanzar un ataque de suplantación a los servicios de Google y ahí comenzó nuestro análisis. La respuesta corta es que sí, es muy fácil hacerlo. Esta vulnerabilidad podría ser utilizada contra cualquier usuario que utilice el dispositivo en redes bajo el control del atacante, ya que el mismo podría configurar un punto wifi con un SSID de una red inalámbrica sin cifrar. Con la configuración por defecto, los teléfonos Android se conectan automáticamente a una red ya conocida y muchas de las aplicaciones intentarán sincronizar inmediatamente
Aunque como decía al principio, desde la Universidad de Ulm ya se han puesto en contacto con Google para que mejoraran la seguridad, existe detrás de la noticia una nota más negativa. Estos fallos de seguridad suelen ser resueltos con la última actualización del sistema, pero la gran variedad de dispositivos existentes en el mercado y la tardanza de muchos de los proveedores por ofrecerles a los clientes esta última actualización, produce que muchos aún continúen con la versión 2.2.2 del sistema, con todo los peligros que eso acarrea.
http://bitelia.com/2011/05/investig...n-vulnerables-al-robo-de-datos-confidenciales
-----------
Personal: lo que esta en negrilla, es uno de los problemas de la no distribucion de actualizaciones por los proveedores, y eso que hay hablan de 2.2.2, cuando muchos estan en la 2.1 (y varios en anteriores que ni se pueden actualizar), al unirse con la fragmentacion y los telefonos de marcas no muy conocidas seran facilmente atacados, creo que llego el momento de ver que tan comprometidos estan los fabricantes con android, y ver como solucionan este bug de seguridad pronto los de google...