Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

-336

Aplicaciones populares de Android no cifran el tráfico que envían

La seguridad en la transmisión de datos que realizan las aplicaciones de un teléfono Android ha quedado en entredicho después de que en una clase universitaria detectaran que programas como Facebook, Twitter o el mismo Google Calendar no cifran el tráfico.

Un profesor del Center for Information Technology de la Universidad de Princeton realizó junto a sus alumnos un experimento bastante sencillo: configurar un sniffer e ir analizando todo lo que un teléfono Android iba enviando a la red mediante Wi-Fi, utilizando varias aplicaciones.

Problemas de seguridad en redes Wi-Fi abiertas

Ante todo, hay que recalcar que el problema existe cuando se usan redes Wi-Fi abiertas, en las que el tráfico no se transmite cifrado y cualquier receptor pasivo puede acceder al contenido de los paquetes lanzados al aire. No hay problema cuando utilizamos la red 3G de la operadora, puesto que las transmisiones están cifradas.

Los resultados fueron bastante sorprendentes, ya que a pesar de que la gran mayoría de las aplicaciones oficiales de Google (GMail, Voice…) sí cifran los datos, Calendar no lo hace, con lo que cualquier usuario malintencionado podría suplantar a otro de cara al servicio de agenda.

Este problema también afecta a una de las aplicaciones más populares de todas: Facebook. Ésta, envía todo, absolutamente todo, en claro (sin cifrar). Incluso, se capturó incluso alguna consulta SQL. Todo ello aunque en la configuración de la cuenta se haya seleccionado que se quieren todas las comunicaciones cifradas; configuración que al parecer en Android no se aplica. Por lo tanto, podría ser relativamente fácil añadir publicaciones en una cuenta ajena.

Twitter también se comunica sin cifrar los datos, aunque en esta ocasión no hay tanto problema. Primero, porque finalmente cualquier tweet lo normal es que acabe siendo público para el 100% de la red y, como emplea firmas OAuth para autenticar el usuario, es bastante más difícil que a partir de los datos obtenidos se logre atacar una cuenta.

Luego, probaron algunas aplicaciones más: SoundHound y ShopSaavy envían las coordenadas GPS cuando se les realiza una petición y Angry Birds sólo envía el modelo del teléfono cuando se pulsa en un anuncio.

Los programadores deben tener muy en cuenta la seguridad de sus usuarios

Tras todas estas pruebas, está claro que los desarrolladores de aplicaciones deberían tomarse más en consideración la integridad y confidencialidad de los datos que se envían con ellas, ya que con la enorme proliferación de este tipo de terminales se hace más probable que cualquier persona con malas intenciones capture información personal de otro, e incluso pueda utilizarla para suplantar su identidad en redes sociales u otras aplicaciones web.

Por el momento, el problema se solventa simplemente no utilizando redes Wi-Fi abiertas (sin contraseña), y conectándose siempre a través de redes 3G o Wi-Fi protegidas. O, en caso de ser imprescindible usar redes abiertas, empleando un túnel VPN.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Nada nuevo. ¿¿ Como crees que va el tráfico de Gmail, Google…

    Nada nuevo. ¿¿ Como crees que va el tráfico de Gmail, Google Calendar, Facebook y Twitter utilizando un PC ??

    Normalmente las webs emplean HTTPs (que sí que va cifrado) para el proceso de login, luego pasan al HTTP tradicional (sin cifrar) para el resto de la sesión.

    Lo que sí que se puede hacer en un PC (porque ves la URL en la barra de direcciones) es obligar a navegar a través de HTTPs por toda la web. Obviamente esto en una aplicación de Android, Symbian, iOS no se puede hacer porque no tienes a tiro el código.

    Imagino que a lo que te refieres y el tema de la noticia es que estas aplicaciones no utilizan HTTPs para el tráfico que generan igual que hace (por defecto) un PC cuando navegas por la web no-https.

  • BocaDePez BocaDePez
    6

    Creo que no es importante que los programadores por…

    Creo que no es importante que los programadores por definición cifren todos los datos si o si, mas bien en mi opinión seria una opción complementaria y que el usuario debería realizar cuando le convenga una capa adicional de seguridad. Lo que si debería ser de obligado cumplimiento, es cifrar todo el trafico de red y esa tarea recae sobre el sistema operativo, aunque menos mal que dentro de poco incorporaremos el protocolo IPv6 que ya cifra los datos y no habrá este inconveniente. Salu2.

  • BocaDePez BocaDePez
    6

    Lo que hay que leer! que si las esta aplicación no cifra o…

    Lo que hay que leer! que si las esta aplicación no cifra o encripta los datos, que si esta otra si lo hace etc.... empecemos por preguntar que tipo de encriptado tienen los datos de la conexión de telefonía móvil.

    Hace poco tiempo que se ha demostrado que se puede desencriptar llamadas de telefonía móvil con poco dinero, pero que pasa con la conexion de los datos? mucho usb 3g y las conexiones sin encriptar ni autenticar y no hablemos de los móviles, vamos que ahora nos preocupamos por los programas cuando el problema esta en los mismos dispositivos que corren las aplicaciones.

    Que si gmail esta cifrado, que si facebook no...es mas importante que toda la conexión este cifrada y autenticada....aunque claro...las conexiones de banda ancha móvil no son tan fáciles de analizar con un sniffer, por eso solo hablan de wifi...que hagan las pruebas directamente al teléfono móvil..ya veréis que risa nos da a todos.

  • BocaDePez BocaDePez
    6

    SQL??

    Incluso, se capturó incluso alguna consulta SQL.

    Ande vaaas bestiaaaa!! Si desde la API de facebook se pudiesen hacer consultas SQL a la ligera seria la hostia :DLa API de facebook tiene una manera de requerir ciertos datos de usuario mediante un lenguaje parecido al SQL, pero definitivamente, la aplicación de android no va atacando a un MYSQL así sin más.

  • BocaDePez BocaDePez
    18

    La mitad de los programadores no saben que es eso de AES,…

    La mitad de los programadores no saben que es eso de AES, MD5, etc. ni tienen ganas de aprenderlo.

  • BocaDePez BocaDePez
    6

    Lo que se pone en entredicho es la inteligencia del que se…

    Lo que se pone en entredicho es la inteligencia del que se dedique a compartir según qué información en redes abiertas desconocidas.

1