Una de las características más aclamadas del sistema operativo Android es, sin lugar a dudas, la facilidad que ofrece a los usuarios al momento de utilizar sus cuentas en servicios de Google, unificando todo bajo una sola autenticación, además de su facilidad para compartir en diferentes aplicaciones. Sin embargo, estas ventajas también pueden ser utilizadas con fines maliciosos, como es el caso del más reciente fallo de seguridad en Android revelado durante la conferencia de seguridad Defcon 2013, el cual aprovecha un agujero de seguridad en el protocolo de autenticación para dar acceso a un intruso a todas los servicios asociados a la cuenta Google del usuario.
Un investigador y experto en materia de seguridad llamado Craig Young, quien trabaja para la firma Tripwire, anunció durante su ponencia en la Defcon que este fallo de seguridad en Android hace uso de un agujero en el protocolo de autencicación en un solo clic de la plataforma, una de sus características más elogiadas por los usuarios.
Google ya ha sido notificado sobre este fallo, y está trabajando en solucionarlo
En resumen, cuando una aplicación solicita acceso a nuestra cuenta de Google (Gmail, YouTube, Calendar o Drive; por ejemplo) el intruso puede hacer uso del protocolo llamado Weblogin para luego usar la autorización que el usuario otorgó para acceder a un servicio en específico, y aplicarlo a todos los demás servicios asociados a la cuenta Google.
Demostrando con un ejemplo muy claro, Craig Young desarrolló una aplicación que se presentaba a ella misma como una app para seguir los cambios en la bolsa de valores. Al instalar la aplicación, solicita al usuario permiso para encontrar cuentas asociadas al móvil, algo normal en esta clase de software (y que no supone ningún peligro hasta este punto), pero al ejecutar la aplicación por primera vez luego de instalada, solicita autorización para acceder a nuestra cuenta en Google Finanzas (asociada a la cuenta Google). Lo que el usuario no sabe es que al otorgar autorización para este servicio, la aplicación también obtendrá acceso a todos los demás servicios Google del usuario.
¿Qué tan peligroso es este fallo de seguridad?
Según el investigador, un hacker malicioso puede aprovechar el protocolo Weblogin para acceder a toda la información de la cuenta Google del usuario. Esto incluye correos en Gmail, archivos en Drive, citas en el calendario e incluso instalar aplicaciones desde Google Play de forma remota en el terminal Android.
Pero el riesgo es aún mayor si estamos hablando de una cuenta asociada a Google Apps for Business, dado que el atacante podría obtener acceso a archivos y datos sensibles de una empresa. Y ni hablar de si se trata del móvil de un administrador de una cuenta empresarial de Google Apps; el riesgo sería aún mayor.
Aún así, el investigador asegura que notificó a Google de este agujero el pasado mes de febrero, y que el gigante de las búsquedas se encuentra "trabajando en una solución", aunque aún no comunican haberlo solucionado por completo.
Otro agujero de seguridad revelado por investigadores, como el caso del fallo de Blueboxx; donde nuevamente al experto no le queda más que recomendar a los usuarios el mantener siempre actualizados sus terminales, y tener muchísimo cuidado al momento de autorizar acceso a sus cuentas personales.