¿Cuantas veces desde este portal os hemos advertido de los peligros de conectarse a redes wireless abiertas (libres, sin contraseña)? Pues aquí tenéis un motivo más para no conectarnos a estas redes con nuestros dispositivos Android (al menos si no tenemos la versión 2.3.4 de Android). Nos llega información desde ElMundo.es que un grupo de investigadores han descubierto una vulnerabilidad que permite conocer las contraseñas y todos los credenciales de nuestro dispositivo Android si nos conectamos a una red Wi-Fi abierta.
Según comentan, con un ataque sencillo, se pueden robar los accesos a todas las cuentas de Google, así como las de Facebook y Twitter. Esta vulnerabilidad viene porque el protocolo de autenticación ClientLogin (que almacena credenciales de cuenta de Google, Twitter etc) está mal implementado ya que guardan todos estos datos sin cifrar, es decir, en texto plano. Os recomendamos visitar nuestro tutorial sobre tipos de redes informáticas que existen.
Con las pistas que nos dan:
- Red Wi-Fi abierta.
- Credenciales sin cifrar.
- Ataque sencillo y rápido.
Creo que podemos pensar de qué ataque se trata, ¿verdad?
La versión 2.3.4 de Android corrige este fallo, sin mirar el changelog, me aventuro a pensar que el parche para este problema pasa por cifrar los datos del ClientLogin.