Android: un fallo en la implementación de SSL deja datos al descubierto

Escrito por Adrián Crespo
Android
0

Hoy en día ya son cada vez más las aplicaciones de Android que implementan este tipo de certificados. El perfil de las aplicaciones que incorporan este certificado corresponde con todas aquellas que necesitan que algún tipo de dato personal del usuario sea suministrado, generalmente datos bancarios o relacionados con tarjetas de crédito y cuentas.

Sin embargo, y a pesar de que incorporen este certificado, la aplicación no garantiza de que los datos sean transmitidos de forma segura.

Un grupo de investigadores estadounidenses han descubierto que más de 1.000 aplicaciones de entre una muestra de 13.000 son vulnerables y podrían provocar el robo de información.

¿Por qué motivo sucede ésto?

La respuesta a la pregunta anterior es muy sencilla: se debe a una mala implementación del certificado. Por lo tanto, que el certificado sea implementado no evita que la información sea robada si éste está incorporado de forma errónea.

Los investigadores aseguran que a día de hoy, hasta el 20% de las aplicaciones que utilizan dicho certificado son vulnerables a sufrir algún tipo de robo de información.

Robos en mucho servicios

Algunas aplicaciones que utilizan dicho certificado y que además hacen uso de la cuenta de otro servicio, han propiciado que los investigadores puedan obtener los datos de inicio de sesión de estos servicios, entre los cuales, se encuentran nombres como Facebook, Twittter, Yahoo!, Youtube, Paypal, Google, …

Por lo tanto suponen un peligro para lo usuario ya que éstos pueden ver como sus datos caen en manos de terceras personas.

Ingeniería aplicada a los virus

Además, los investigadores aseguran que al poder incorporarse este tipo de certificados en los virus, éstos pueden implementar este tipo de certificados y de esta forma, poder evadir los controles de los antivirus que existen en la actualidad, ya que el antivirus tendría una excepción para este tipo de certificados.

Poca claridad en la documentación

Los investigadores también han sacado en claro que en la actualidad muy pocas son las aplicaciones sobre el tipo de cifrado que utilizan para llevar a cabo la transmisión de los datos. También afirman que son muy pocos los usuarios que se preocupan de mirar este tipo de datos antes de hacer uso de una aplicación.

¿Cómo puede saber si una aplicación es segura?

Ya que a simple vista y basándonos en la documentación no nos sirve de mucho, existe la herramienta AndroGuard, que se encargará de verificar lo segura que resulta ser una aplicación del sistema operativo Android.

Artículos de interés:

Fuente | The Register