Video

jueves, 20 de diciembre de 2012

Noticias - Grave Bug de Android Revela Contraseñas y Datos Privados en cualquier Red WiFi

8:05 0 comments

Noticias - Grave Bug de Android Revela Contraseñas y Datos Privados en cualquier Red WiFi

La noticia me acaba de caer como un balde de agua fría en pleno invierno y me deja preocupado, como así también, me obliga a cambiar todas mis contraseñas de las principales redes sociales y correo electrónicos que utilizo para Noticias Android .NET y las miás personales.
Los investigadores de ULM University, mas precisamente Tres investigadores de dicha universidad, han detectado una vulnerabilidad que puede ser usada para acceder a nuestros datos personales de nuestra cuenta en Google (aunque también de facebook, twitter, o similares)




















https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg06UUSaaBjHpClyKgPR7DySsTGJxdRtCKutdv8MV1ht5xBS5tEmdIiGelQn6b2QoLHgSGLznSJIDdYJ9qQ3WjsB-3eGW1i5kyuC7ntd4X0RmY7St7zvUav1Z06ybB1W9WG0EIVhsHH9DL3/s1600/shark1.png


Existe un problema del que Google siempre fue consciente y no se digno a arreglar y aun no fue arreglado!
El problema radica en que existe la posibilidad de usar el servicio “Client Login” que es usado para la validación en varios servicios de Google, de manera fraudulenta. Estos servicio utilizan una clave alternativa llamada OAuth (los desarrolladores entenderán más) y que es una “contraseña alternativa” que se usa en aplicaciones para no utilizar la contraseña verdadera del servicio que utilizamos.

Doy un ejemplo rápido para los que no sepan que es OAuth: Tenemos una cuenta de Google con una contraseña, para no guardar esa contraseña se genera una serie de textos (letras y números) que combinados nos dan accesos completo a nuestra cuenta. Esto beneficia no damos nuestras contraseñas a los programas y de esa forma nunca la sabrán pero contarán unicamente con esa serie de textos y números. El problema es que si alguien tiene esa serie de numeros y textos (conocidos como OAuth) es capaz de hacer casi todo como si entráramos con nuestra contraseña.
Cada vez que añadimos una cuenta segura, como puede ser la de Google, Facebook, Twitter, etc etc (empresas responsables) nuestro Android guarda ese OAuth durante 14 días y vuelve a ser pedido y sustituido por uno nuevo.
Hasta acá esta todo bien, y pareceria seguro, el problema ocurre en que esa conexión OAuth es hecha por http y no https O sea.. no es es una conexión cifrada y de esta manera, si se intercepta nuestra conexión pasa a ser insegura (porque se envia en texto plano) y se puede ver la contraseña o la OAuth de forma directa y clara.
Un error enorme como una casa de parte de Google que sabiendo acerca de este error, aun no lo soluciona y que tan solo lo esta pensada la corrección para Ice Cream (Android 2.4) dejando todas las versiones anteriores (incluyendo las actualizaciones menores de Gingerbread (como 2.3.1 o la 2.3.2 o la 2.3.3) Android 2.x y 1.x el agujero de inseguridad activo. La versión 2.3.4 tiene solución parcial (cuando no se conecta por https desecha la conexión e intenta usar http y volvemos a lo mismo) Solo des Icre Cream en adelante, serán las versiones que no acepte conexiones http y obligatoriamente usen https


0 comentarios:

Publicar un comentario