Android es un sistema operativo basado en Linux y pensado especialmente para dispositivos móviles que desde 2005 está desarrollado por Google. Actualmente posee una gran cuota de mercado en este tipo de dispositivos debido, en gran medida, a la disponibilidad libre de su código y a la gran variedad de aplicaciones gratuitas disponibles.
El fallo descubierto se encuentra en el protocolo que usa ClientLogin, utilizado por otras aplicaciones para identificarse en los servicios de Google a través de un token de autenticación (authToken) que tienen validez durante el período de dos semanas. ClientLogin obtiene este token enviando a Google el nombre de la cuenta y la contraseña. Lógicamente, todos estos datos viajan sobre una conexión HTTPS, bajo SSL. Sin embargo, cuando una aplicación desea identificarse ante Google, las peticiones que contienen este token son enviadas sobre conexiones HTTP sin cifrar, pudiendo ser visibles por cualquier máquina que se encuentre capturando tráfico en la misma red local. Habitualmente Android se conecta a través de redes inalámbricas, y si esa red no usa cifrado o utiliza un cifrado inseguro (WEP, por ejemplo), sería equivalente a enviar las credenciales en texto plano.
Este fallo de seguridad está presente en Android 2.3.3 y versiones anteriores. Google ha subsanado el error en la versión 2.3.4, por lo que sería recomendable actualizar a esta versión. Sin embargo, el principal problema ahora es que los usuarios de Android actualicen realmente su versión para no ser vulnerables. Esta responsabilidad suele dejarse en manos del fabricante del terminal, que personaliza las versiones del sistema operativo. Por tanto, es necesario estar al tanto de la actualización de cada fabricante de teléfonos y esto podría demorarse un tiempo indefinido.
Mientras tanto, se recomienda no usar Android en redes inalámbricas no cifradas o en las que no se confíe.
Javier Rascón
jrascon@hispasec.com
jrascon@hispasec.com
