El 99% de los teléfonos Android pueden revelar contraseñas e información de cuentas
La gran mayoría de los dispositivos que ejecutan el sistema operativo Android de Google son vulnerables a los ataques que permiten a terceras personas robar credenciales digitales utilizadas para acceder a calendarios, contactos y otros datos confidenciales almacenados en los servidores del gigante de las búsquedas
Una investigación de la Universidad alemana de Ulm han encontrado una debilidad debida a una implementación errada de un protocolo de autenticación conocido como ClientLogin en las versiones de Android 2.3.3 y anteriores.
Al enviar las credenciales válidas para Google Calendar, Contactos y, posiblemente, a otras cuentas, la interfaz de programación recupera un identificador de autenticación que se envía en texto plano. Debido a que el identificador se puede utilizar durante un máximo de 14 días en todas las solicitudes posteriores sobre el servicio, terceras personas pueden explotar la debilidad y obtener acceso no autorizado a distintas cuentas.
La investigación confirma resultados previos del profesor Dan Wallach de la Universidad de Rice que en febrero descubrió deficiencias similares que afectan privacidad en las aplicaciones android para Twitter, Facebook, Picasa y Google Calendar en un simple ejercicio para su clase de seguridad de pregrado. Los ataques sólo pueden llevarse a cabo cuando los dispositivos están utilizando redes inseguras, tales como los ofrecidos en redes Wi-Fi públicas.
Basado en las estadísticas de Google, esto significa más del 99 por ciento de los teléfonos basados en Android son vulnerables a los ataques, que son similares en crisis y el efecto que la llamada sidejacking que permite robar las cookies de autenticación.
Los investigadores sugirieron a Google a mejorar su seguridad al acortar la duración de validez de los identificadores y rechazar las solicitudes de Login de las conexiones http inseguras.
La semana pasada, Google dijo que planea trabajar más estrechamente con proveedores de servicios inalámbricos en un intento de ayudarles a ofrecer actualizaciones de Android con mayor rapidez. La compañía todavía no ha ofrecido más detalles.
Si les gusto la informacion, Agradescanla con puntos o comentarios
