EQUIPO NIZKOR |
|
19may11
Una grave falla de seguridad afecta a celulares y tabletas con Android
Expertos informáticos de la Universidad alemana de Ulm han descubierto un grave fallo de seguridad en Android que permite intrusiones y ataques malintencionados a los usuarios de móviles y tabletas equipados con el sistema operativo de Google.
La agresión externa puede producirse en el momento en el que el usuario utiliza un sistema inalámbrico 'w-lan' de acceso a internet público o abierto, ya que el fallo de seguridad permite a un eventual atacante acceder a la agenda personal del dispositivo, su lista de contactos o fotografías almacenadas online.
La edición digital del semanario Der Spiegel informa que el grave fallo de seguridad en el sistema Android, que podría afectar al 99 por ciento de sus usuarios, ha sido descubierto por el equipo "IT-Security" de la Universidad de Ulm, al sur de Alemania, que dirige Bastian Könings.
La brecha permite al atacante incluso "asumir la identidad del usuario para acceder a los servicios personales" de Android y acceder tanto a su agenda como a su lista de contactos u otros datos que haya confiado al sistema Android. Könings subraya que un ataque así es muy sencillo, ya que "no hace falta ni tener estudios" para realizarlo y abre las puertas a criminales que, por ejemplo, desean saber cuando alguien está ausente de su vivienda.
El investigador explica que el atacante no tiene más que abrir un sistema inalámbrico "w-lan" y atribuirle un nombre frecuente de red como, por ejemplo 'FreePublicWifi'. que habitualmente utilizan cadenas de cafeterías o salas de espera de aeropuertos.
Todo móvil con sistema Android que se encuentre en el radio de acción de ese 'hot spot' y haya accedido anteriormente a una red del mismo nombre se registrará de manera automática en el nuevo sistema de 'w-lan' abierto y gratuito sin que su propietario ni tan siquiera se dé cuenta.
El atacante podrá entonces, una vez que se sincronicen la agenda y las aplicaciones de contactos y fotografías con los servicios de Google Cloud, capturar absolutamente todos los datos, incluso determinados registros de autentificación, los llamados 'tokens'. Estos últimos se mantienen durante "un máximo de dos semanas" inalterados, explica Könings, y el atacante que accede a ellos puede libremente manipular a su gusto la agenda, lista de contactos o las fotografías online de su víctima, capturando su contenido o introduciendo incluso nuevos archivos.
Por su parte, Google sostuvo que en cuanto fue advertido de esta vulnerabilidad el problema fue solucionado, tanto para calendarios como para contactos para las versiones de Android afectadas. Además señalaron que las circunstancias en que este fallo podía afectar a un usuario eran muy específicas y poco frecuentes y que esta vulnerabilidad no habilitaba a un hacker a tomar control sobre el teléfono celular con Android, sino sobre los contactos, información del calendario y fotos.
[Fuente: Clarín, Bs As, 19may11]
 | This document has been published on 07Jun11 by the Equipo Nizkor and Derechos Human Rights. In accordance with Title 17 U.S.C. Section 107, this material is distributed without profit to those who have expressed a prior interest in receiving the included information for research and educational purposes. |