miércoles, 18 de mayo de 2011

Grave Bug en Android Revela Contraseñas y Datos Privados

Los investigadores de ULM University, mas precisamente Tres investigadores de dicha universidad, han detectado una vulnerabilidad que puede ser usada para acceder a nuestros datos personales de nuestra cuenta en Google (aunque también de facebook, twitter, o similares)


Existe un problema del que Google siempre fue consciente y no se digno a arreglar y aun no fue arreglado!
El problema radica en que existe la posibilidad de usar el servicio “Client Login” que es usado para la validación en varios servicios de Google, de manera fraudulenta. Estos servicio utilizan una clave alternativa llamada OAuth (los desarrolladores entenderán más) y que es una “contraseña alternativa” que se usa en aplicaciones para no utilizar la contraseña verdadera del servicio que utilizamos.

Hasta acá esta todo bien, y pareceria seguro, el problema ocurre en que esa conexión OAuth es hecha por http y no https O sea.. no es es una conexión cifrada y de esta manera, si se intercepta nuestra conexión pasa a ser insegura (porque se envia en texto plano) y se puede ver la contraseña o la OAuth de forma directa y clara.

Para poner freno a esta vulnerabilidad es conveniente actualizar nuestro android a la Versión 2.3.4 ya que dicha versión ya comienza a utilizar el protocolo HTTPS (seguro) para la obtención de la clave OAuth. Lamentablemente no es lo idóneo porque ya conocemos que solo contados smartphones y tablets cuentan con la posibilidad de actualizar a 2.3.4 (o superior como 3.1).

Por lo tanto.. todo version actual de android cuenta con este fallo y no tiene solucion por el momento (unicamente se recomienda actualizar a 2.3.4 como medida preventiva)

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.