android seguridad
Páginas: 2 (352 palabras)
Publicado: 8 de mayo de 2013
Android y la inseguridad en el protocolo ClienteLogin de Google
PUBLICADO POR VICENTE MOTOS ON MIÉRCOLES, 18 DE MAYO DE 2011 ETIQUETAS: ANDROID, VULNERABILIDADES
Hace unos días, un grupo deinvestigadores de la Universidad de Ulm en Alemania publicó detalles de una "vulnerabilidad" en los sistemas operativos Android versión 2.3.3 y anteriores. Realmente no se trata de una vulnerabilidad, si node la forma en que las aplicaciones en Android utilizan el protocolo de autenticación ClientLogin para acceder a varios servicios de Google.
Concretamente, el problema reside en que ClientLoginenvía los datos de autenticación (usuario y contraseña) sobre texto plano dentro de la cabecera Authorization en una petición HTTP GET. Un atacante podría por lo tanto capturar el tráfico y fácilmenteextraer esta cabecera para suplantar a su víctima. Dependiendo del uso que se le de, el token podría dar al atacante acceso a las aplicaciones de Google Calendar, Picassa o Contact y lo peor es que ¡eltoken es válido durante 14 días!
Este problema además no se limita sólo a Android: cualquier otra aplicación que utilice el protocolo ClientLogin sobre texto plano en HTTP está sujeta a ataquessimilares. Si bien Android, como está tan extendido, parece el objetivo más crítico para un potencial ataque.
¿Cómo podría un atacante explotarlo?
Hay varias formas. La más sencilla y probable seríacuando la víctima esté conectada con su Android en una red Wifi abierta (como por ej. la de un Starbucks o similar), momento en el que un atacante podría fácilmente esnifar el tráfico para capturartodos los tokens de autenticación.
De forma similar, un atacante podría también instalar un punto de acceso falso con un nombre familiar para conseguir que las víctimas se conecten a él, redirigir eltráfico y capturar los tokens de forma transparente.
Finalmente, también sería posible aprovecharse mediante ataques como ARP poisoning incluso en redes cifradas.
¿Qué podríamos hacer?
Si es...
PUBLICADO POR VICENTE MOTOS ON MIÉRCOLES, 18 DE MAYO DE 2011 ETIQUETAS: ANDROID, VULNERABILIDADES
Hace unos días, un grupo deinvestigadores de la Universidad de Ulm en Alemania publicó detalles de una "vulnerabilidad" en los sistemas operativos Android versión 2.3.3 y anteriores. Realmente no se trata de una vulnerabilidad, si node la forma en que las aplicaciones en Android utilizan el protocolo de autenticación ClientLogin para acceder a varios servicios de Google.
Concretamente, el problema reside en que ClientLoginenvía los datos de autenticación (usuario y contraseña) sobre texto plano dentro de la cabecera Authorization en una petición HTTP GET. Un atacante podría por lo tanto capturar el tráfico y fácilmenteextraer esta cabecera para suplantar a su víctima. Dependiendo del uso que se le de, el token podría dar al atacante acceso a las aplicaciones de Google Calendar, Picassa o Contact y lo peor es que ¡eltoken es válido durante 14 días!
Este problema además no se limita sólo a Android: cualquier otra aplicación que utilice el protocolo ClientLogin sobre texto plano en HTTP está sujeta a ataquessimilares. Si bien Android, como está tan extendido, parece el objetivo más crítico para un potencial ataque.
¿Cómo podría un atacante explotarlo?
Hay varias formas. La más sencilla y probable seríacuando la víctima esté conectada con su Android en una red Wifi abierta (como por ej. la de un Starbucks o similar), momento en el que un atacante podría fácilmente esnifar el tráfico para capturartodos los tokens de autenticación.
De forma similar, un atacante podría también instalar un punto de acceso falso con un nombre familiar para conseguir que las víctimas se conecten a él, redirigir eltráfico y capturar los tokens de forma transparente.
Finalmente, también sería posible aprovecharse mediante ataques como ARP poisoning incluso en redes cifradas.
¿Qué podríamos hacer?
Si es...
Leer documento completo
Regístrate para leer el documento completo.