Android y la inseguridad en el protocolo ClienteLogin de Google

Hace unos días, un grupo de investigadores de la Universidad de Ulm en Alemania publicó detalles de una "vulnerabilidad" en los sistemas operativos Android versión 2.3.3 y anteriores. Realmente no se trata de una vulnerabilidad, si no de la forma en que las aplicaciones en Android utilizan el protocolo de autenticación ClientLogin para acceder a varios servicios de Google.

Concretamente, el problema reside en que ClientLogin envía los datos de autenticación (usuario y contraseña) sobre texto plano dentro de la cabecera Authorization en una petición HTTP GET. Un atacante podría por lo tanto capturar el tráfico y fácilmente extraer esta cabecera para suplantar a su víctima. Dependiendo del uso que se le de, el token podría dar al atacante acceso a las aplicaciones de Google Calendar, Picassa o Contact y lo peor es que ¡el token es válido durante 14 días!


Este problema además no se limita sólo a Android: cualquier otra aplicación que utilice el protocolo ClientLogin sobre texto plano en HTTP está sujeta a ataques similares. Si bien Android, como está tan extendido, parece el objetivo más crítico para un potencial ataque.


¿Cómo podría un atacante explotarlo?


Hay varias formas. La más sencilla y probable sería cuando la víctima esté conectada con su Android en una red Wifi abierta (como por ej. la de un Starbucks o similar), momento en el que un atacante podría fácilmente esnifar el tráfico para capturar todos los tokens de autenticación.


De forma similar, un atacante podría también instalar un punto de acceso falso con un nombre familiar para conseguir que las víctimas se conecten a él, redirigir el tráfico y capturar los tokens de forma transparente.


Finalmente, también sería posible aprovecharse mediante ataques como ARP poisoning incluso en redes cifradas.


¿Qué podríamos hacer?

Si es posible, actualizar Android a la última versión 2.3.4 ya que esta versión utiliza HTTPS para autenticación.

Recordemos que el mundo actual, no hay ninguna razón para no usar SSL para cifrar absolutamente todo...

Fuentes:
Android, HTTP and authentication tokens
Catching AuthTokens in the Wild, The Insecurity of Google's ClientLogin Protocol

Comentarios

  1. Maria Merecedes, me gusta esto y me gustas tu, soy un activista solitario, a traves de 350 poemas en criticas con el sistema y los "sistematicos" del que dios me ponga, que yo arruinare todo, llevo tiempo escribiendo y enviandoselos a cada uno lo que le corresponda
    Nos veremos las cara y charlaremos
    Luispoemas@hotmail.es

    ResponderEliminar

Publicar un comentario