¿Y por qué comento esto en un blog de Apple? No es por mofarme de ellos, pues me parece un tema muy serio y que traerá cola debido a la dificultad de actualización del sistema y a la desidia de muchos usuarios que pasan de actualizaciones. Lo comento porque, como decía aquel, el que esté libre de culpa que tire la primera piedra y hay que tener muy presente que cualquier sistema operativo es susceptible de sufrir un ataque o encontrar una vulnerabilidad. También intentaré dar una solución (aunque algo obvia) para que estéis protegidos todos aquellos interesados en el mundo Apple y que a su vez disponen de un terminal Android (que no son pocos).
Según parece, un grupo de investigadores de la Universidad ULM de Alemania, ha realizado un informe que habla sobre esta vulnerabilidad. Os invito a leer el informe completo. En él se habla sobre el problema de seguridad encontrado: la captura de los datos de autenticación de determinados servicios, a través del servicio de Android ClientLogin.
¿Qué es ClientLogin? Como hemos dicho, es un servicio/aplicación de los sistemas Android, que a través de una clave de autenticación OAuth, es capaz de validarse en los servicios de Google como los contactos, calendarios o fotos, además de ser usado por aplicaciones de terceros como Facebook o Twitter. Dicha clave, una vez usada, tiene una validez y período de renovación de 14 días. Por lo tanto, en caso de robo, el atacante tiene tiempo de sobra para hacer lo que quiera.
Cuando nos conectamos a una red WiFi no segura (como la WiFi de un Starbucks, un hotel, un Vips, gasolinera...) estamos expuestos a que una persona, ordenador en mano, pueda detectar como esta aplicación envía datos no encriptados a través de la red, los cuales pueden capturarse de una manera sencilla para un hacker. Por lo tanto, puede capturar y replicar la clave OAuth para poder acceder a todos nuestros servicios como si estuviéramos logados nosotros mismos y acceder libremente a nuestra información o modificarla.
Para capturar masivamente estos datos, cualquiera podría crear un punto de acceso WiFi fantasma, sin conexión a internet, haciendo como si fuera un punto de acceso libre. En el momento que un terminal conectara, empezaría a enviar los OAuth desencriptados libremente (aunque no haya conexión a internet), y el ladrón quedarse con todos los datos.
Este error afecta a todas las versiones de Android hasta la 2.3.3, al menos en las aplicaciones testeadas de Google. A partir de las versión 2.3.4 Google empieza a usar protocolo https para la transmisión de estas claves, y por lo tanto, ya no existe dicho error.
Si unimos este problema a lo que comentaron el otro día nuestros compañeros de Gizmóvil, sobre el aumento del 400% en el malware para Android vemos que los usuarios de este sistema empiezan a tener un problema de seguridad serio, que en el caso de iOS (siempre y cuando el terminal no tenga jailbreak) no existe. Es un hecho, que un iOS oficial (dada su filosofía de entrada única al dispositivo de aplicaciones a través de la App Store) es inmune al malware, no así lógicamente a ataques de otro tipo a través del navegador, por ejemplo.
Las formas de evitar el problema de seguridad comentado son, o actualizar a la versión 2.3.4 de Android, o simplemente desactivar la sincronización de contenidos cuando estemos conectados a una red abierta, sin seguridad y que no conozcamos. Independientemente, es una buena práctica para todos el forzar que nuestras conexiones a redes sociales o servicios de Google, sean siempre por https, cosa que puede hacerse fácilmente desde las preferencias de cada página. Seamos o no usuarios de Android, es algo muy recomendable.
En cuanto a iOS, la misma Universidad ha buscado esta vulnerabilidad en el sistema, pero no la ha encontrado, verificando que todas las claves OAuth (o similares) del sistema de Apple vuelan siempre encriptadas, incluso (e irónicamente) las que sincronizan los servicios de Google con iOS a través de Exchange. Es curioso que la conexión que integra iOS con los servicios de Google sea más segura que la que usan ellos mismos para su sistema operativo.