Hallan más de 100 nuevas apps Android que hacen peligrar tu contraseña
Aunque la seguridad debería ser un mantra obligatorio para cualquier desarrollador, sigue habiendo aplicaciones que ponen en peligro las contraseñas de los usuarios debido a una mala implementación de HTTPS. La lista de aplicaciones con este problema en Android es cada vez más larga.
Hace unos meses, investigadores del City College de San Francisco descubrían que muchas aplicaciones Android no implementan bien el popular protocolo de transferencia segura de datos HTTP Secure o HTTPS. A resultas de ese fallo, cualquier hacker con un poco de maña puede acceder al nombre de usuario y la contraseña que estamos utilizando para esa aplicación concreta. Basta conectarse a la misma red WiFi.
A la lista de software de Android revelada por el equipo de San Francisco se unen ahora más de 100 aplicaciones nuevas con el mismo problema. Entre ellas hay aplicaciones como la de Pizza Hut, la de la Asociación Nacional de Baloncesto estadounidense, o la popular aplicación de contactos de Match.com. Este vídeo muestra cómo funciona la vulnerabilidad.
El descubridor del fallo es Rui Wang. Wang es el CEO de Appbugs, una aplicación gratuita que sirve precisamente para descubrir vulnerabilidades HTTPS en aplicaciones Android. La peor parte es que, según el propio Wang ha explicado a Ars Technica, muchos de los desarrolladores con los que se ha puesto en contacto para informarles del fallo todavía no han hecho nada para solucionarlo, y han pasado varios meses.
Solo las contraseñas que se usan en la aplicación vulnerable están en peligro, pero muchos usuarios tienden a poner la misma contraseña en todos. Teniendo en cuenta que el nombre de usuario suele ser la dirección de mail principal, un fallo como este puede tener consecuencias graves a poco que el hacker investigue un poco. [Appbugs vía Ars Technica]
Unos 600 millones de teléfonos Galaxy expuestos a piratas informáticos
La falla permite potencialmente a los piratas informáticos espiar a cualquiera utilizando un teléfono Samsung Galaxy. Los dispositivos y usuarios pueden ser expuestos a ella por usar un WI-Fi público o inseguro. Pero algunos piensan que también puede ocurrir por estar en redes de teléfonos celulares.
Los investigadores en la firma de ciberseguridad NowSecure dicen que alertaron a Samsung sobre esta vulnerabilidad en noviembre. Siete meses más tarde, nada ha sido arreglado. Es por ello que la firma hizo públicos sus descubrimientos este martes.
¿Qué tan serio es este problema? El CEO de NowSecure, Andrew Hoog, dijo que, en un sistema bien establecido que clasifica problemas de seguridad del 1 al 10, esta vulnerabilidad se encuentra en 8.3.
NowSecure dijo que examinó varios modelos Galaxy en diferentes compañías telefónicas. Todos eran vulnerables. Asumiendo que cada Galaxy allá afuera es el mismo, NowSecure estima que 600 millones de dispositivos están afectados.
El problema involucra al software de predicción de palabras utilizado por los dispositivos Samsung. Es elaborado por la compañía británica SwiftKey, y Samsung lo instala en sus dispositivos desde la fábrica.
El año pasado, los investigadores de NowSecure descubrieron que el teclado de SwiftKey puede ser engañado para aceptar archivos maliciosos cuando se actualiza el software. Debido al modo en el que el teclado es instalado, ese virus puede tener acceso a algunas de las partes más profundas del núcleo del sistema computacional del teléfono.
Con ese nivel de acceso, un hacker puede hacer prácticamente lo que quiera a tu teléfono.
Esta intrusión no es sencilla. Pero es una táctica de los ciberatacantes en una misión con mucho dinero y acceso a WiFi o redes de celulares. ¿Un posible objetivo? Ejecutivos de compañías viajando a países como China, donde el gobierno espía rutinariamente a los visitantes para robar sus planes de negocio.
También expone a funcionarios gubernamentales de alto nivel. Samsung acaba de obtener la bendición de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) para sus dispositivos Galaxy, que fueron aprobados para uso de los empleados del gobierno de Estados Unidos. Y el último hackeo a empleados federales—supuestamente por el gobierno chino—muestra que son objetivos valiosos.
Ni Samsung ni SwiftKey han asumido responsabilidad por insertar el código fallido. En un comunicado público, SwiftKey dijo que se enteró de la falla el martes. Dijeron que “la manera en que la tecnología fue integrada a los dispositivos Samsung introdujo la vulnerabilidad”.
Para calmar a usuarios preocupados, la firma británica argumentó que este hackeo no es fácil de llevar a cabo. Requiere de una elección del momento oportuno. Un hacker solo puede meterse al dispositivo cuando el software de teclado está llevando a cabo una actualización.
En un comunicado para la prensa, Samsung dijo que “toma muy en serio las amenazas emergentes a la seguridad… y [está] comprometido a proveer con lo último en seguridad móvil”.
La compañía también dijo que está a punto de parchar la cuestión con su servicio Samsung KNOX. “Las actualizaciones estarán saliendo en unos días”, dijo la compañía, aunque no queda claro si todos los dispositivos recibirán el arreglo.
Parte del increíblemente tardío arreglo para este problema se debe a la manera en que los fabricantes de teléfonos trabajan con las compañías telefónicas como AT&T, Sprint, T-Mobile y Verizon.
Samsung puede correr a crear un arreglo, pero la gente debe esperar a que las compañías lo distribuyan.
Este sistema fracturado causa constantes quejas de los clientes, quienes deben esperar pacientemente por un nuevo software: todo desde nuevas características hasta arreglos para peligrosos virus.
NowSecure dijo que notificó a Samsung en noviembre—y como evidencia de lo lente que es el sistema—el 31 de diciembre pidieron un año para arreglarlo. En su defensa, Samsung dijo que los investigadores de ciberseguridad de NowSecure no explicaron el problema por completo.
“Aprendimos acerca de la extensión total esta semana pasada”, dijo Samsung a CNNMoney. NowSecure recomendó a los usuarios de Samsung Galaxy evitar usar WI-FI inseguro, abandonar sus teléfonos, y llamar a sus compañías proveedoras para presionarlos para un arreglo rápido.
Hoog dijo que hicieron pública la cuestión de vulnerabilidad porque la presión era muy grande. La firma de ciberseguridad había aconsejado a compañías por medio año sin poder decirles que sus empleados y gerentes estaban en serie riesgo de ser espiados por hackers.
“Necesitamos informarles acerca del riesgo”, le dijo a CNNMoney. “Sería ingenuo pensar que otras entidades [como gobiernos y cibermafias] no serían capaces de encontrar este fallo y ejecutarlo”.
0 Comentarios