Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios
Regístrate Identifícate

-336

Aplicaciones populares de Android no cifran el tráfico que envían

La seguridad en la transmisión de datos que realizan las aplicaciones de un teléfono Android ha quedado en entredicho después de que en una clase universitaria detectaran que programas como Facebook, Twitter o el mismo Google Calendar no cifran el tráfico.

Un profesor del Center for Information Technology de la Universidad de Princeton realizó junto a sus alumnos un experimento bastante sencillo: configurar un sniffer e ir analizando todo lo que un teléfono Android iba enviando a la red mediante Wi-Fi, utilizando varias aplicaciones.

Problemas de seguridad en redes Wi-Fi abiertas

Ante todo, hay que recalcar que el problema existe cuando se usan redes Wi-Fi abiertas, en las que el tráfico no se transmite cifrado y cualquier receptor pasivo puede acceder al contenido de los paquetes lanzados al aire. No hay problema cuando utilizamos la red 3G de la operadora, puesto que las transmisiones están cifradas.

Los resultados fueron bastante sorprendentes, ya que a pesar de que la gran mayoría de las aplicaciones oficiales de Google (GMail, Voice…) sí cifran los datos, Calendar no lo hace, con lo que cualquier usuario malintencionado podría suplantar a otro de cara al servicio de agenda.

Este problema también afecta a una de las aplicaciones más populares de todas: Facebook. Ésta, envía todo, absolutamente todo, en claro (sin cifrar). Incluso, se capturó incluso alguna consulta SQL. Todo ello aunque en la configuración de la cuenta se haya seleccionado que se quieren todas las comunicaciones cifradas; configuración que al parecer en Android no se aplica. Por lo tanto, podría ser relativamente fácil añadir publicaciones en una cuenta ajena.

Twitter también se comunica sin cifrar los datos, aunque en esta ocasión no hay tanto problema. Primero, porque finalmente cualquier tweet lo normal es que acabe siendo público para el 100% de la red y, como emplea firmas OAuth para autenticar el usuario, es bastante más difícil que a partir de los datos obtenidos se logre atacar una cuenta.

Luego, probaron algunas aplicaciones más: SoundHound y ShopSaavy envían las coordenadas GPS cuando se les realiza una petición y Angry Birds sólo envía el modelo del teléfono cuando se pulsa en un anuncio.

Los programadores deben tener muy en cuenta la seguridad de sus usuarios

Tras todas estas pruebas, está claro que los desarrolladores de aplicaciones deberían tomarse más en consideración la integridad y confidencialidad de los datos que se envían con ellas, ya que con la enorme proliferación de este tipo de terminales se hace más probable que cualquier persona con malas intenciones capture información personal de otro, e incluso pueda utilizarla para suplantar su identidad en redes sociales u otras aplicaciones web.

Por el momento, el problema se solventa simplemente no utilizando redes Wi-Fi abiertas (sin contraseña), y conectándose siempre a través de redes 3G o Wi-Fi protegidas. O, en caso de ser imprescindible usar redes abiertas, empleando un túnel VPN.

  • Boca de Pez Boca de Pez
    6

    SQL??

    Incluso, se capturó incluso alguna consulta SQL.

    Ande vaaas bestiaaaa!! Si desde la API de facebook se pudiesen hacer consultas SQL a la ligera seria la hostia :DLa API de facebook tiene una manera de requerir ciertos datos de usuario mediante un lenguaje parecido al SQL, pero definitivamente, la aplicación de android no va atacando a un MYSQL así sin más.

  • Boca de Pez Boca de Pez
    6

    Lo que hay que leer! que si las esta aplicación no cifra o…

    Lo que hay que leer! que si las esta aplicación no cifra o encripta los datos, que si esta otra si lo hace etc.... empecemos por preguntar que tipo de encriptado tienen los datos de la conexión de telefonía móvil.

    Hace poco tiempo que se ha demostrado que se puede desencriptar llamadas de telefonía móvil con poco dinero, pero que pasa con la conexion de los datos? mucho usb 3g y las conexiones sin encriptar ni autenticar y no hablemos de los móviles, vamos que ahora nos preocupamos por los programas cuando el problema esta en los mismos dispositivos que corren las aplicaciones.

    Que si gmail esta cifrado, que si facebook no...es mas importante que toda la conexión este cifrada y autenticada....aunque claro...las conexiones de banda ancha móvil no son tan fáciles de analizar con un sniffer, por eso solo hablan de wifi...que hagan las pruebas directamente al teléfono móvil..ya veréis que risa nos da a todos.

  • Boca de Pez Boca de Pez
    6

    Creo que no es importante que los programadores por…

    Creo que no es importante que los programadores por definición cifren todos los datos si o si, mas bien en mi opinión seria una opción complementaria y que el usuario debería realizar cuando le convenga una capa adicional de seguridad. Lo que si debería ser de obligado cumplimiento, es cifrar todo el trafico de red y esa tarea recae sobre el sistema operativo, aunque menos mal que dentro de poco incorporaremos el protocolo IPv6 que ya cifra los datos y no habrá este inconveniente. Salu2.