Falla de seguridad en Android 2.3.3: 'Sidejacking' Uso de la API ClientLogin

Le toca el turno de nuevo a la Seguridad amigos y amigas, aunque en esta ocasión relativa a teléfonos o dispositivos móviles que usen el Sistema Operativo de Google Android, y es que algunos ingenieros con talento de la Universidad ULM de Alemania han descubierto un fallo de seguridad en Android, el sistema operativo de Google. La falla al parecer afecta al 97% de los usuarios de Google Android en todo el mundo.

Lo más probable es que si estás usando Google Android, tus datos pueden fácilmente transmitirse por toda la tierra y caer en manos de hackers sin tu conocimiento. Estos datos pueden ser tu lista de contactos, calendario de eventos y otra información privada. Los ingenieros “jugaron” con la API ClientLogin de Google que al parecer da acceso remoto a terceros que les permite robar tus datos.

Dan Wallach en su blog describe los riesgos de seguridad en el uso de los teléfonos inteligentes Android sobre una red wi-fi. Él descubrió que algunas de las aplicaciones de Android trasladan los datos a través de la red insegura, por lo que es posible que un hacker gane acceso a ella. Entre estas aplicaciones populares se incluyen Facebook y Twitter, junto con la aplicación propia de Google Calendar para Android, que transfiere datos sin encriptación en las redes wi-fi abiertas. Dan dijo que un espía puede ver fácilmente tus transacciones en el calendario y hacerse pasar por ti en Google Calendar. También descubrió el mismo defecto con los contactos de Google.

Los investigadores de la Universidad tomaron apuntes del trabajo de investigación de Dan y lo estudiaron más a fondo. Ellos lanzaron un ataque de suplantación a los servicios de Google y llegaron a la conclusión de que teóricamente cualquier servicio de Google a través de la API ClientLogin puede ser fácilmente hackeado y que los datos de los usuarios pueden ser efectivamente robados.

Google lanzó un comunicado diciendo que van a solucionar el problema para todos los dispositivos Android incluyendo las versiones anteriores. Es importante señalar que la revisión no requiere actualización del sistema operativo y será transparente para el usuario. Esto significa, a lo mejor de nuestro conocimiento que el usuario no recibirá ninguna notificación especial cuando la actualización esté disponible para su dispositivo.

También, la solución sólo garantiza el cifrado y sincronización de contactos de Google y aplicaciones de calendario. La sincronización de Picasa, que se integró en Android 2.3, se mantendrá sin cifrar. A los usuarios se les recomienda a actualizar sus contraseñas de los servicios de Google y de contactos de inmediato si notan alguna actividad sospechosa en el calendario o los contactos.