Durante los últimos meses hemos visto como Android se convertía en una plataforma utilizada por multitud de dispositivos, principalmente teléfonos móviles y tabletas. No obstante, esa popularización también ha traído, tal y como hemos analizado en este blog en anteriores ocasiones, un incremento en la inseguridad de este sistema ya sea por el interés de los ciberdelincuentes o por fallos de diseño.
El caso que nos ocupa hoy no se trata de ninguna nueva amenaza pensada para afectar a esta plataforma, sino de un fallo por parte de Google que puede hacer que un atacante suplante la identidad de un usuario si se conecta a ciertos servicios con su dispositivo Android en una red insegura. Los descubridores de este fallo son los investigadores de la universidad Alemana ULM, quienes descubrieron como acceder a los servicios de Google Calendar, Picassa e incluso a la lista de contactos analizando las comunicaciones de dispositivos Android.
El fallo está producido por ClientLogin, API proporcionada por Google para que las aplicaciones puedan solicitar un token de autenticación (authToken), válido durante las dos semanas siguientes a su solicitud. Esta solicitud se realiza bajo una conexión HTTPS, pero cuando es la aplicación la que solicita autenticarse con Google, estas solicitudes utilizan conexiones sin cifrar HTTP, por lo que pueden ser fácilmente capturadas por un atacante conectado a la misma red inalámbrica, siempre que la misma no use un cifrado seguro.
Porcentaje de versiones de Android usadas actualmente
Hay dos factores que amplifican la magnitud de este fallo y estos son que la mayoría de los usuarios no se preocupan de revisar la seguridad de las redes inalámbricas a las que se conectan y que el fallo se soluciona a partir de la versión 2.3.4 de Android dejando al resto de versiones vulnerables. El problema es que la mayoría de usuarios usa versiones vulnerables y resulta difícil actualizar el firmware del dispositivo puesto que, en la mayoría de ocasiones, son las operadoras las que deciden cuando lanzan estas actualizaciones y no todos los dispositivos pueden actualizarse a la versión más reciente.
Debido a que muchos usuarios se quedarán sin poder actualizar a una versión no afectada por este fallo, bien porque su terminal no lo soporta o porqué su operadora no lo permite, la solución que nos queda es evitar las redes inalámbricas inseguras y, en caso de no tener más remedio que conectarse a ellas, desde el laboratorio de ESET en Ontinet.com aconsejamos evitar acceder a sitios donde se nos requieran datos de acceso para evitar que los mismos puedan ser robados.
Josep Albors