18 de mayo de 2011

FALLO DE AUTENTICACION EN ANDROID

El problema podría permitir a un atacante remoto tener acceso a los servicios Calendar, Picassa y la lista de contactos de Google de dispositivos Android.

Investigadores de la Universidad de Ulm (Alemania), han descubierto un fallo en el protocolo utilizado por algunas aplicaciones para autenticarse en ciertos servicios de Google.

Android es un sistema operativo basado en Linux y pensado especialmente para dispositivos móviles que desde 2005 está desarrollado por Google.

Detalle de la vulnerabilidad:

  • El fallo descubierto se encuentra en el protocolo que usa ClientLogin, utilizado por otras aplicaciones para identificarse en los servicios de Google a través de un token de autenticación (authToken) que tienen validez durante el período de dos semanas.
  • ClientLogin obtiene este token enviando a Google el nombre de la cuenta y la contraseña. Lógicamente, todos estos datos viajan sobre una conexión HTTPS, bajo SSL. Pero, cuando una aplicación desea identificarse ante Google, las peticiones que contienen este token son enviadas sobre conexiones HTTP sin cifrar, pudiendo ser visibles por cualquier máquina que se encuentre capturando tráfico en la misma red local.
  • Habitualmente Android se conecta a través de redes inalámbricas, y si esa red no usa cifrado o utiliza un cifrado inseguro (WEP, por ejemplo), sería equivalente a enviar las credenciales en texto plano.

Recursos afectados :

Este fallo de seguridad está presente en Android 2.3.3 y versiones anteriores

Recomendaciones:

Google ha lanzado la versión 2.3.4 que corrige la vulnerabilidad, por lo que sería recomendable actualizar a esta versión.

Fuente: Hispasec