Grave Bug de Android Revela Contraseñas y Datos Privados en cualquier Red WiFi

Grave Bug de Android Revela Contraseñas y Datos Privados en cualquier Red WiFi

La noticia me acaba de caer como un balde de agua fría en pleno invierno y me deja preocupado, como así también, me obliga a cambiar todas mis contraseñas de las principales redes sociales y correo electrónicos que utilizo para Noticias Android .NET y las miás personales.

Los investigadores de ULM University, mas precisamente Tres investigadores de dicha universidad, han detectado una vulnerabilidad que puede ser usada para acceder a nuestros datos personales de nuestra cuenta en Google (aunque también de facebook, twitter, o similares)

Wireshack - Mostrando OAuth en Texto Plano de Android

Existe un problema del que Google siempre fue consciente y no se digno a arreglar y aun no fue arreglado!

El problema radica en que existe la posibilidad de usar el servicio “Client Login” que es usado para la validación en varios servicios de Google, de manera fraudulenta. Estos servicio utilizan una clave alternativa llamada OAuth (los desarrolladores entenderán más) y que es una “contraseña alternativa” que se usa en aplicaciones para no utilizar la contraseña verdadera del servicio que utilizamos.

Doy un ejemplo rápido para los que no sepan que es OAuth: Tenemos una cuenta de Google con una contraseña, para no guardar esa contraseña se genera una serie de textos (letras y números) que combinados nos dan accesos completo a nuestra cuenta. Esto beneficia no damos nuestras contraseñas a los programas y de esa forma nunca la sabrán pero contarán unicamente con esa serie de textos y números. El problema es que si alguien tiene esa serie de numeros y textos (conocidos como OAuth) es capaz de hacer casi todo como si entráramos con nuestra contraseña.

Cada vez que añadimos una cuenta segura, como puede ser la de Google, Facebook, Twitter, etc etc (empresas responsables) nuestro Android guarda ese OAuth durante 14 días y vuelve a ser pedido y sustituido por uno nuevo.

Hasta acá esta todo bien, y pareceria seguro, el problema ocurre en que esa conexión OAuth es hecha por http y no https O sea.. no es es una conexión cifrada y de esta manera, si se intercepta nuestra conexión pasa a ser insegura (porque se envia en texto plano) y se puede ver la contraseña o la OAuth de forma directa y clara.

Un error enorme como una casa de parte de Google que sabiendo acerca de este error, aun no lo soluciona y que tan solo lo esta pensada la corrección para Ice Cream (Android 2.4) dejando todas las versiones anteriores (incluyendo las actualizaciones menores de Gingerbread (como 2.3.1 o la 2.3.2 o la 2.3.3) Android 2.x y 1.x el agujero de inseguridad activo. La versión 2.3.4 tiene solución parcial (cuando no se conecta por https desecha la conexión e intenta usar http y volvemos a lo mismo) Solo des Icre Cream en adelante, serán las versiones que no acepte conexiones http y obligatoriamente usen https

Wireshack - Mostrando OAuth en Texto PlanoWireshack - Mostrando OAuth en Texto Plano

Para poner freno a esta vulnerabilidad es conveniente actualizar nuestro android a la Versión 2.3.4 ya que dicha versión ya comienza a utilizar el protocolo HTTPS (seguro) para la obtención de la clave OAuth. Lamentablemente no es lo idóneo porque ya conocemos que solo contados smartphones y tablets cuentan con la posibilidad de actualizar a 2.3.4 (o superior como 3.1).

Así que el otro consejo para darle freno a este potencial robo de datos es conectarse con redes seguras (no las abiertas de un café, escuela, aeropuerto, o la de un vecino que le robamos WiFi 😉 , etc) y comenzar a fiar unicamente con nuestra propia red inalámbricas (si esta bien montada claro esta) y también, por otro lado, empezar a desactivar la sincronización de contenido cuando nos vayamos a conectar a redes wifi abiertas.

Este test fue hecho con una red WiFi pero tambien se podría extender a 3G y 4G pero para interceptar una señal de este tipo, ya se necesitaría contar con unas antenas especiales que no están disponibles para usuarios normales pero que igual se pueden conseguir en paginas chinas

Lo peor de todo, es que este bug no se encontró con un super software o computadora, fue descubierto con wireshack y una simple placa WiFi de 39 dolares. Así que con una placa WiFi domestica y una aplicación normal y ordinaria para Windows tan popular para los desarrolladores o administradores de redes, como el mismo agua que bebemos cada día. Así que la facilidad de conseguir estos datos es aun mas sencilla de lo que puedan pensar.

Actualización:

Me tope con un plugin para añadir a WiresHack y hacer todo de forma “automatizada” pero por cuestiones éticas, de responsabilidad y de seguridad NO voy a publicar, así que no manden mas correos desde el formulario de contacto de la pagina ni en los comentarios de esta entrada pidiendo que lo publique.

Related Posts
  • Direte

    Por eso pienso optar por BADA en mi proxima compra.

  • exiliadomn

    Que raro!! (sarcasmo)

    Google en realidad es enemigo de GNU Linux y sobretodo de la libertad, el uso que hace de Software privativo en Gmail (javascript), su escaneo de todos lo emails que tenemos, la venta que realiza de nuestros datos personales, la censura ideologica de videos en youtube, etc, son una amenaza los de Google.

  • Davidpro0

    Osea q actualice mi backflip de 1.5 a 2.1 y sigue con esa vulnerabilidad??

    • juanmanul2009

      jajajaja si

  • Mercanotimbues

    esos 3 investigadores de la universidad UML estaban al pedo o fueron contratados para buscar fallas?

    • Son investigadores que tiene la universidad como puede pasar en cualquier otra, simplemente personas que colaboran con la universidad y la universidad les paga por sus investigaciones…
      aca una foto de las 3 personas que lo descubrieron:
      3 Nerds
      (jaja la foto es un chiste pero la informacion es de verdad)

  • Wow! costo pero consegui un plugin para automatizar todo, lo estoy probando ahora mismo y les cuento que onda

  • leonardo1983

    me quedo en mi ubuntu, android es una mala distro de linux

    • Manolo121

      todo bien, pero bue.. en smartphone es android, ios, blackberry o windows mobile 7 … bue.. y la extinta symbian
      pero guarda, si mandas informacion sin cifrar por wifi con tu ubunto estamos en la misma, no te salvas

  • Da miedo!