Investigadores de la Universidad alemana de Ulm informaron que algunas aplicaciones de Android transmiten datos confidenciales de autenticación sin asegurarse adecuadamente de que no están conectados a una red Wi-Fi insegura, permitiendo a un atacante robar información privada del usuario como datos del Calendario, Contactos o Fotos.
La vulnerabilidad específica se encuentra en las aplicaciones que utilizan el servicio de autenticación Google ClientLogin a través de HTTP como hace Google Calendar y Contactos. Un atacante puede leer las credenciales digitales del usuario (conocidas como «Auth tokens») cuando una aplicación vulnerable en su teléfono se sincroniza en segundo plano. De esta forma el atacante podría obtener acceso completo a cualquiera de los servicios con los que interactúa la aplicación vulnerable.
Según el documento técnico de Bastian Könings, Jens Nickels, y Florian Schaub, titulado Catching AuthTokens in the Wild: The Insecurity of Google’s ClientLogin Protocol, las implicaciones de seguridad de esta vulnerabilidad, a parte de la divulgación de información sensible, además permitirían, por ejemplo, que un atacante realizara cambios en dicha información sin conocimiento del usuario. De esta forma sería posible cambiar la dirección de correo electrónico almacenada del jefe de la víctima o algún socio de trabajo con la intención de recibir material sensible posteriormente.
Sistemas Afectados
Versiones 2.3.3 y anteriores. Google ha parcheado esta vulnerabilidad en teléfonos corriendo la versión 2.3.4.
Para comprobar qué versión de Android está ejecutando, haga click en [Configuración de la aplicación >> menú «Aplicaciones» >> «Acerca del teléfono» >> «Información de software»].
Solución
Actualizar lo antes posible a la versión 2.3.4.
Por otro lado, se debe tener mucha precaución a la hora de conectar el terminal móvil a redes Wifi públicas o libres inseguras ya que resulta extremadamente sencillo capturar paquetes que viajan en claro.
