📰 Artículos

Aplicaciones populares de Android no cifran el tráfico que envían

Luis 25 febrero 2011 12:18

⋮

La seguridad en la transmisión de datos que realizan las aplicaciones de un teléfono Android ha quedado en entredicho después de que en una clase universitaria detectaran que programas como Facebook, Twitter o el mismo Google Calendar no cifran el tráfico.

Un profesor del Center for Information Technology de la Universidad de Princeton realizó junto a sus alumnos un experimento bastante sencillo: configurar un sniffer e ir analizando todo lo que un teléfono Android iba enviando a la red mediante Wi-Fi, utilizando varias aplicaciones.

Problemas de seguridad en redes Wi-Fi abiertas

Ante todo, hay que recalcar que el problema existe cuando se usan redes Wi-Fi abiertas, en las que el tráfico no se transmite cifrado y cualquier receptor pasivo puede acceder al contenido de los paquetes lanzados al aire. No hay problema cuando utilizamos la red 3G de la operadora, puesto que las transmisiones están cifradas.

Los resultados fueron bastante sorprendentes, ya que a pesar de que la gran mayoría de las aplicaciones oficiales de Google (GMail, Voice…) sí cifran los datos, Calendar no lo hace, con lo que cualquier usuario malintencionado podría suplantar a otro de cara al servicio de agenda.

Este problema también afecta a una de las aplicaciones más populares de todas: Facebook. Ésta, envía todo, absolutamente todo, en claro (sin cifrar). Incluso, se capturó incluso alguna consulta SQL. Todo ello aunque en la configuración de la cuenta se haya seleccionado que se quieren todas las comunicaciones cifradas; configuración que al parecer en Android no se aplica. Por lo tanto, podría ser relativamente fácil añadir publicaciones en una cuenta ajena.

Twitter también se comunica sin cifrar los datos, aunque en esta ocasión no hay tanto problema. Primero, porque finalmente cualquier tweet lo normal es que acabe siendo público para el 100% de la red y, como emplea firmas OAuth para autenticar el usuario, es bastante más difícil que a partir de los datos obtenidos se logre atacar una cuenta.

Luego, probaron algunas aplicaciones más: SoundHound y ShopSaavy envían las coordenadas GPS cuando se les realiza una petición y Angry Birds sólo envía el modelo del teléfono cuando se pulsa en un anuncio.

Los programadores deben tener muy en cuenta la seguridad de sus usuarios

Tras todas estas pruebas, está claro que los desarrolladores de aplicaciones deberían tomarse más en consideración la integridad y confidencialidad de los datos que se envían con ellas, ya que con la enorme proliferación de este tipo de terminales se hace más probable que cualquier persona con malas intenciones capture información personal de otro, e incluso pueda utilizarla para suplantar su identidad en redes sociales u otras aplicaciones web.

Por el momento, el problema se solventa simplemente no utilizando redes Wi-Fi abiertas (sin contraseña), y conectándose siempre a través de redes 3G o Wi-Fi protegidas. O, en caso de ser imprescindible usar redes abiertas, empleando un túnel VPN.

💬 Comentarios

BocaDePez 25 febrero 2011 12:52

⋮

Lo que se pone en entredicho es la inteligencia del que se dedique a compartir según qué información en redes abiertas desconocidas.

BocaDePez 25 febrero 2011 14:10

⋮

La mitad de los programadores no saben que es eso de AES, MD5, etc. ni tienen ganas de aprenderlo.

BocaDePez 25 febrero 2011 14:29

⋮

Se dice cifrar, no encriptar

✖

txuspe 25 febrero 2011 14:35

⋮

Cierto es, a ver si se pasa Luis y lo corrige. :)

Luis 25 febrero 2011 17:18

⋮

Corregido, gracias!

BocaDePez 25 febrero 2011 22:52

-1

⋮

Bueno la gente como yo dice encriptar, con el uso del termino puede acabar aceptándose en la RAE

BocaDePez 25 febrero 2011 23:10

-2

⋮

✖

BocaDePez 26 febrero 2011 03:42

⋮

✖

BocaDePez 26 febrero 2011 14:06

-1

⋮

BocaDePez 26 febrero 2011 17:25

-1

⋮

Soldadito 1 marzo 2011 14:39

⋮

BocaDePez 25 febrero 2011 14:35

⋮

Orbot: torproject.org/docs/android.html.en

NetVicious 25 febrero 2011 14:47

⋮

Nada nuevo. ¿¿ Como crees que va el tráfico de Gmail, Google Calendar, Facebook y Twitter utilizando un PC ??

Normalmente las webs emplean HTTPs (que sí que va cifrado) para el proceso de login, luego pasan al HTTP tradicional (sin cifrar) para el resto de la sesión.

Lo que sí que se puede hacer en un PC (porque ves la URL en la barra de direcciones) es obligar a navegar a través de HTTPs por toda la web. Obviamente esto en una aplicación de Android, Symbian, iOS no se puede hacer porque no tienes a tiro el código.

Imagino que a lo que te refieres y el tema de la noticia es que estas aplicaciones no utilizan HTTPs para el tráfico que generan igual que hace (por defecto) un PC cuando navegas por la web no-https.

✖

txuspe 25 febrero 2011 14:52

⋮

Se refiere a que en un PC puedes configurar Gmail, Facebook, etc. para que accedan solo a través de HTTPS, pero en Android no.

Mocho 25 febrero 2011 17:07

⋮

Gmail funciona exclusivamente bajo https a través de web y SSL si usas un cliente de correo. No se puede acceder de otra forma.

✖

BocaDePez 25 febrero 2011 22:57

-1

⋮

No es verdad Imagen original en http://img695.imageshack.us/img695/4866/gmailconfiguracin.png

✖

BocaDePez 27 febrero 2011 20:50

⋮

Es verdad a medias, tiene razón en la parte del cliente de correo :P

BocaDePez 25 febrero 2011 23:05

⋮

¿Seguro? A ver, pruebo la URL de este artículo por https y ¿qué obtengo? Un 301 a la URL normal... Otra cosa es que en Gmail puedes configurar el uso de https en toda la web y no solo el login...

BocaDePez 25 febrero 2011 22:59

⋮

Incluso, se capturó incluso alguna consulta SQL.

Ande vaaas bestiaaaa!! Si desde la API de facebook se pudiesen hacer consultas SQL a la ligera seria la hostia :DLa API de facebook tiene una manera de requerir ciertos datos de usuario mediante un lenguaje parecido al SQL, pero definitivamente, la aplicación de android no va atacando a un MYSQL así sin más.

BocaDePez 26 febrero 2011 15:00

⋮

Lo que hay que leer! que si las esta aplicación no cifra o encripta los datos, que si esta otra si lo hace etc.... empecemos por preguntar que tipo de encriptado tienen los datos de la conexión de telefonía móvil.

Hace poco tiempo que se ha demostrado que se puede desencriptar llamadas de telefonía móvil con poco dinero, pero que pasa con la conexion de los datos? mucho usb 3g y las conexiones sin encriptar ni autenticar y no hablemos de los móviles, vamos que ahora nos preocupamos por los programas cuando el problema esta en los mismos dispositivos que corren las aplicaciones.

Que si gmail esta cifrado, que si facebook no...es mas importante que toda la conexión este cifrada y autenticada....aunque claro...las conexiones de banda ancha móvil no son tan fáciles de analizar con un sniffer, por eso solo hablan de wifi...que hagan las pruebas directamente al teléfono móvil..ya veréis que risa nos da a todos.

✖

vukits 26 febrero 2011 15:56

⋮

estamos hablando ce cifrado cliente-servidor, no de cifrado de la conexión..

BocaDePez 27 febrero 2011 19:26

⋮

Creo que no es importante que los programadores por definición cifren todos los datos si o si, mas bien en mi opinión seria una opción complementaria y que el usuario debería realizar cuando le convenga una capa adicional de seguridad. Lo que si debería ser de obligado cumplimiento, es cifrar todo el trafico de red y esa tarea recae sobre el sistema operativo, aunque menos mal que dentro de poco incorporaremos el protocolo IPv6 que ya cifra los datos y no habrá este inconveniente. Salu2.