Vulnerabilidad en Android expone claves de Google en redes Wi-Fi públicas
De acuerdo con un estudio de la Universidad de Ulm en Alemania, el 99.7 por ciento de los smartphones y tablets Android poseen una vulnerabilidad de seguridad que es expuesta cuando el dispositivo se conecta a redes abiertas Wi-Fi. Este agujero de seguridad podría permitir el acceso a información y datos personales del usuario de los servicios Google como calendario, contactos y demás.
La vulnerabilidad se originaría en el protocolo de autentificación ClientLogin, cuya implementación está limitada a Android 2.3.3 o anterior. Cuando el usuario se loguea, las credenciales son enviadas para su validación y se devuelve un código autenticador sin encriptar, en cuyo caso los atacantes pueden capturar este código, que será válido por 14 días.
"Para recolectar tales códigos de autenticación en escala masiva un adversario podría crear un punto de acceso Wi-Fi con un SSID común (evil twin) a una red sin encriptar, por ejemplo Starbucks, T-Mobile, attwifi [estos son nombres de redes que se encuentran prácticamente en cualquier lugar de las grandes ciudades de USA]. Con los ajustes por defecto, los teléfonos Android se conectan automáticamente a una red previamente conocida y muchas aplicaciones intentarán sincronizar inmediatamente. Mientras que la sincronización fallará (a menos que el adversario reenvíe las peticiones), el adversario capturaría los códigos de autenticación para cada uno de los servicios que intentó sincronizar.", dice el informe.
Este problema fue resuelto con Android 2.3.4, aunque la mayoría amplia de los teléfonos celulares no corren esta versión del OS y mucho menos tienen fecha para recibir una actualización.
Los investigadores sugieren apagar la sincronización automática cuando se conecta a una red Wi-Fi abierta y pública, o bien evitar las redes abiertas por completo.