El sistema de autentificación mediante un clic de Google en Android denominado 'weblogin', puede poner en peligro la seguridad de los usuarios, según demostró el experto en seguridad Craig Young, mediante una aplicación falsa que permitiría a 'hackers' acceder a los datos privados de la cuenta de Google del usuario.
Esta funcionalidad, denominada 'weblogin', permite acceder a determinadas páginas sin tener que introducir ningún tipo de contraseña ni información, ya que el sistema utiliza los datos de la cuenta de Google del usuario para 'loguearse'.
Demostración del fallo de seguridad
- El investigador ingenió una aplicación falsa, con una apariencia similar a la de Google Finance, y la lanzó a la Play Store indicando claramente que se trataba de una 'app' maliciosa.
- Durante su instalación, la aplicación pide permiso al usuario para encontrar y usar las cuentas del dispositivo y acceder a la web.
- A continuación, aparece otro aviso que solicita acceso a una URL que comienza con 'weblogin'. Según el fundador de esta aplicación, este segunda advertencia es totalmente desinformativa, por lo que la mayoría de los usuarios probablemente aceptarían la petición.
- Si esto ocurre, los usuarios son inscritos automáticamente en la web de Google Finance y, a la vez, la identificación se desvía a través de una conexión encriptada que desemboca en un servidor controlado por un hacker. "Y el problema es que la autentificación de 'weblogin' no funciona solo para Google Finance, sino para todos los servicios de Google", explicó Young.
Impacto del fallo de seguridad
- Por ejemplo, este sistema puede proporcionar acceso a los documentos de la víctima de Google Drive, correo de Gmail, entradas del calendario de Google Calendar, historial de búsquedas Google Web o la información que pueda ser privada que esté almacenada en las aplicaciones de Google.
- Además, de esta manera también se podría acceder a la cuenta de Google Play del usuario e instalar de forma remota aplicaciones en el dispositivo de este. Asimismo, el hacker tendría la posibilidad de cambiar contraseñas así como de crear y modificar listas de mails, e incluso añadir nuevos usuarios con privilegios administrativos.
Más información
Fuente: Europa Press
