Vulnerabilidad en 99% de smartphones Android (y como protegerse)

Se dio a conocer por investigadores universitarios que aproximadamente, bueno más bien casi (el 99%) todos los smartphones con Android de Google son vulnerables a ataques que permiten se roben las credenciales de entrada a calendarios, contactos y otros datos por el estilo. El problema viene de una implementación bastante mala de un protocolo de autenticación llamado ClientLogin; en este problema, después que el usuario pone sus credenciales para entrar en Google Calendar, Google Contacts y posiblemente otros servicios, la interfaz antes mencionada envía un token de autenticación en texto plano, sin encriptar, mismo que puede ser usado hasta por 14 días en peticiones subsecuentes al servicio. Lo peor de todo es que estos ataques son extremadamente sencillos de montar, y toman lugar cuando se accesa una red sin seguridad, como por ejemplo en los hotspots de WiFi.

Tristemente sólo Android 2.3.4 y superiores no sufren este fallo; todas las versiones que están por debajo si, de ahí el 99%. Por supuesto que la primera opción es actualizarse a Android 2.3.4, pero claro, eso sólo lo podrán hacer los que tengan equipo que lo soporte, así que por ahora ese remedio pasa a segundo plano; lo mejor (realmente) que puedes hacer es deshabilitar las conexiones WiFi automáticas y usar redes 3G y 4G si están disponibles, en vez de redes wireless no aseguradas. Pero mientras tanto, ojalá Google esté pensando seriamente en como llevar a cabo esa alianza que mencionó durante su Google I/O 2011, gracias a la que habrían actualizaciones garantizadas para los teléfonos nuevos por 18 meses. No es perfecto, pero si mejor que la situación actual de smartphones Android, que salen al mercado y se quedan en el olvido.

Fuentes: The Register