Muchas aplicaciones populares de Android plantean importantes amenazas para la seguridad. Esta es la conclusión a la que han llegado investigadores del Fraunhofer Institute for Secure Information Technology en Darmstadt (Alemania) (Fraunhofer SIT). Aprovechando los puntos débiles en la manera de utilizar el protocolo SSL (Secure Sockets Layer), los atacantes pueden robar datos de acceso sensibles, como por ejemplo nombres de usuarios y contraseñas. Fraunhofer SIT ha informado de más de 30 fabricantes de aplicaciones afectados; hasta ahora, 16 han cerrado la brecha en materia de seguridad. Entre estos se encuentran: Amazon, Yahoo, Google, y Volkswagen Bank. La lista de todas las aplicaciones con actualizaciones de seguridad está disponible en el siguiente enlace www.sit.fraunhofer.de/en/appsecuritylist.
El riesgo de seguridad del usuario depende de la aplicación específica: Con algunas aplicaciones únicamente están en riesgo las fotos personales; con las aplicaciones bancarias, los datos de acceso podrían ser utilizados para transferencias de dinero no autorizadas. Un riesgo especialmente grave podría ocurrir si las aplicaciones utilizan el sistema de sesión única de Google o Microsoft. En estos casos, los datos de acceso se utilizan para una gran variedad de servicios, como el correo electrónico y el almacenamiento en la nube.
La vulnerabilidad se introduce por un uso incorrecto de SSL. El protocolo SSL protege de manera criptográfica la conexión entre las aplicaciones y los servidores. Esta protección confía en los llamados certificados de clave pública. Cuando se recibe un certificado, la aplicación debería verificar que éste realmente pertenece al servidor con el que desea comunicarse. Los investigadores han descubierto que en aplicaciones incluidas en la lista, esta verificación no se realiza de forma correcta. “Desde una perspectiva técnica, se trata de un pequeño fallo. Pero, este puede llegar a tener un gran impacto sobre la seguridad”, comenta el Dr. Jens Heider de Fraunhofer SIT. Por ejemplo, un atacante necesita únicamente manipular la comunicación que se desarrolla mientras la víctima está navegando en una WLAN sin proteger, es decir, en un aeropuerto o en un restaurante. Es en estas situaciones en las que la encriptación SSL debería garantizar las comunicaciones seguras.
“En principio, la vulnerabilidad es extremadamente sencilla de corregir”, explica Heider. Él y su equipo ya han informado a los fabricantes hace varias semanas y les han pedido que corrijan estos puntos débiles. El equipo ha vuelto a analizar las nuevas actualizaciones. “Los usuarios necesitan asegurarse de que actualizan siempre sus aplicaciones a la nueva versión”, recomienda Heider. La vulnerabilidad ha sido notificada durante la fase piloto del nuevo marco de pruebas de Fraunhofer SIT “Appicaptor”, que automáticamente analiza la seguridad de las aplicaciones. Fraunhofer SIT ha analizado un total de 2.000 aplicaciones Android.
Fotos y galería multimedia disponibles en: http://www.businesswire.com/multimedia/home/20131216006226/en/
"El comunicado en el idioma original, es la versión oficial y autorizada del mismo. La traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal".
