Vulnerability Team

Android es uno de los sistemas operativos más utilizados en dispositivos móviles, y es debido a ello que cualquier vulnerabilidad o falla en su seguridad suele repercutir en millones de usuarios. Pues ahora existe una nueva brecha de seguridad que podría permitirle a un atacante robar datos de más del 99% de usuarios de la plataforma móvil de Google.

La falla de seguridad fue descubierta por investigadores de la Universidad de Ulm en Alemania, la misma remarca que al conectar un dispositivo con Android a una red no segura un atacante podría realizar un ataque de suplantación de identidad a los servicios de Google y otros reconocidos sitios web.

El motivo principal por el cual puede suceder este tipo de ataques es a causa de que la comunicación entre los dispositivos ejecutando Android y distintos sitios como Facebook, Twitter o también servicios de Google es a través de HTTP. Cuando los datos viajan a través de la red sin ningún tipo de cifrado, como el que ofrece HTTPS, estos pueden ser capturados por un atacante quien podría realizar un ataque de suplantación de identidad.


Google provee una API (Application Program Interface, en español Interfaz de programación de aplicaciones) denominada ClientLogin que es utilizada por las aplicaciones para solicitar un token de autenticación (authToken) de los servicios de Google enviando como parámetros el usuario y la contraseña a través de HTTPS. Sin embargo, una vez que el authToken es recibido puede ser reutilizado por un período de 2 semanas. Si durante el tiempo durante el cual el token es válido la comunicación se efectúa a través de HTTP un atacante puede capturar la información y realizar el secuestro de las credenciales de acceso.

Por lo tanto, si alguien captura esta información cuando el usuario se conecta a una red no segura podrá acceder, e incluso modificar los datos del usuario o de cualquiera de sus contactos.

Para que un atacante pueda efectuar el robo de la información es necesario que se encuentre conectado a la misma red que la víctima y este capturando el tráfico, de esta manera al contar con la información transmitida podrá capturar el token y utilizarlo para realizar el secuestro de la sesión. Este ataque presenta similitudes al que ejecutaba Firesheep, ese controversial plug-in para Firefox que realizaba el secuestro de las cookies de sesión de sitios que no se conectaban a través de HTTPS.

Android cuenta con diferentes versiones de sus sistema operativo y muchas de ellas se encuentran expuestos a esta vulnerabilidad y solo aquellos que cuenten con versiones posteriores a la 2.3.4 contarán con una comunicación cifrada al acceder a la sincronización de sus contactos o el calendario. Todas las otras versiones del sistema operativo efectúan la comunicación sin ningún tipo de seguridad lo que aumenta la posibilidad del robo de información.

En el siguiente gráfico se puede observar cómo se distribuye la utilización de Android entre sus usuarios y así entender un poco más cuantos podrían ver sus datos expuestos a causa de esta vulnerabilidad:

Es recomendable tanto para los usuarios como para los desarrolladores de aplicaciones contar con buenas prácticas para los dispositivos móviles y poder mantenerse alerta acerca de cuáles son las vulnerabilidades o tendencias en los códigos maliciosos para estas plataformas.

fuente: blogs.eset-la.com

El año pasado con la publicación de Firesheep, el controversial add-on de Firefox, se volvió a generar un gran revuelo en lo que respecta a la seguridad en las conexiones a los sitios web. Fue desde ese entonces que distintas páginas web han puesto a disponibilidad de sus usuarios la posibilidad e iniciar sesión y navegar mediante una conexión por HTTPS.

Entre los sitios que se vieron amenazados por esta herramienta encontrábamos a companías como Google, Facebook y Twitter entre otras.

En esta ocasión fue el sitio de microblogging Twitter quien hizo público el anuncio de esta opción a sus usuarios.

La posibilidad de contar con una conexión segura mediante HTTPS a Twitter, estaba disponible desde hace ya algún tiempo (por ejemplo con HTTPS-Everywhere, un addon de firefox), pero ahora esta opción puede ser habilitada directamente desde la página de configuración de la cuenta.

Al acceder a la página de configuración podrán observar en la parte inferior una opción que les permite activar la conexión mediante HTTPS. En la siguiente imagen se observa que la funcionalidad ha sido activada en una cuenta de Twitter:

Una vez que se guarden los cambios, la conexión al sitio y ciertas aplicaciones accederan al servicio siempre a través de este protocolo, haciendo que los tweets y las cuentas de los usuarios se encuentren más seguras.

Para refrescar un poco la memoria les comentamos que al navegar por HTTP, los datos viajan a través de la red sin ningún tipo de cifrado, y es por ello que los usuarios se pueden ver expuestos a ataques de hijacking, esto es más que un buen motivo para activar esta funcionalidad.

Asegurarse que la conexión a un sitio es segura es una buena práctica para navegar en Internet, y de esta menara se puede evitar que el usuario sea víctima de engaños que pueden robar sus credenciales de acceso o terminar cayendo en un ataque de phishing.

fuente: blogs.eset-la.com

Empezando la semana anunciabamos la aparición de Firesheep, un add-on the Firefox, que permite realizar hijacking de sessiones HTTP (Hypertext Transfer Protocol – en español, protocolo de transferencia de hipertexto). La técnica utilizada se basa en escanear una red inalámbrica no segura y secuestrar credenciales de inicio de sesión en sitios web, entre los cuales se encuentran Facebook, Twitter y Google entre otros tantos que permiten conexiones no seguras por parte de sus usuarios.

El hijacking es una técnica de ataque que se basa en el secuestro de conexiones de red, sesiones de usuario, servicios, modems y otros tantos tipos de servicios informáticos. Como es una técnica que se utiliza en tiempo real, es necesario que el atacante esté conectado a la misma red que el usuario para poder hacer uso de la misma.

Firesheep, el add-on desarrollado por Eric Butler, fue publicado en su blog personal, repercutiendo así en todo el mundo por la facilidad con la que permite acceder a las sesiones iniciadas mediante una conexión HTTP de reconocidos sitios web, como los mencionados anteriormente. Un día después de su publicación, Firesheep ya cuenta con más de 50.000 descargas, lo que resalta el impacto que este suceso puede tener en la seguridad de los usuarios. Su fácil instalación, uso y versiones para diferentes sistemas operativos son algunas de sus principales virtudes.

Al momento de loguearnos en un sitio web, es común que debamos ingresar nuestro usuario y contraseña, estos datos pueden ser cifrados utilizando HTTPS (Hypertext Transfer Protocol Secure), pero no así todo el resto del tráfico que generemos, una falla común en varios sitios web, que afecta a la seguridad de nuestros datos. Basándose en esto, Firesheep, utiliza esta falta de seguridad para secuestrar la cookie generada del usuario y tomar el control de su sesión. Utilizar una conexión mediante HTTPS solo para el login nos sigue dejando vulnerables a este ataque, debido a que el resto del trafico es a través de HTTP, con lo que un atacante puede hacer uso de la cookie que nos envía el servidor para secuestrar la sesión. Es de vital importancia entender que solo estaremos a salvo de esta herramienta si la conexión es en su totalidad realizada mediante el protocolo HTTPS.

Otro punto crítico que esto representa es que Firesheep es muy fácil de usar, lo que incrementa la amenaza a los usuarios. Un adolescente podría instalarlo en su computador y probarlo sin ningún problema. Su simplicidad y accesibilidad son dos de sus características más destacadas, lo que causan que la herramienta sea ampliamente utilizada. A esto hay que sumarle que es multiplataforma, actualmente cuenta con versiones para Mac OS X y Windows, con una versión para Linux en vías de desarrollo por parte de su autor. Queda más que claro que estamos hablando de una herramienta sencilla, al alcance de todos y disponible para diferentes versiones de Sistemas Operativos.

Debemos saber que para ser víctimas de Firesheep, el atacante debe estar conectado a la misma red inalámbrica que nosotros y el ataque ser efectuado en tiempo real (siempre y cuando no haya caducado la cookie enviada por el servidor o se haya cerrado la sesión). Contrariamente a esto, todo dispositivo conectado a una red inalámbrica podrían ser víctimas de este ataque, incluso dispositivos móviles o smartphones, lo que aumenta la exposición y peligrosidad de esta herramienta.

Como una primer medida de protección, sugerimos asegurarnos que al momento de iniciar sesión en un sitio web utilicemos una conexión segura, durante toda la conexión, siempre y cuando esto sea posible. Deberíamos intentar no conectarnos desde redes inseguras a excepción de que esto sea realmente necesario. En lo que respecta a como prevenirse de que una persona utilizando Firesheep secuestre nuestros datos, se pueden usar diferentes add-ons para nuestro navegador que fuerzan el uso de HTTPS.

Con la aparición de Firesheep es más que claro que el uso de una conexión segura durante toda la comunicación, es un requerimiento real con el que los sitios web deberían contar, y que su uso no debería ser postergado en servicios masivos que transfieren información confidencial. En los sitios que requieran validación de usuario y contraseña, implementar conexiones HTTPS durante toda la conexión es una alternativa muy viable en términos de seguridad. La principal barrera con la que contamos al momento de exponer nuestros datos en la web es siendo consientes de las amenazas existentes y contar con buenas prácticas para navegar en Internet. Las amenazas y fallas de seguridad siempre existieron y es posible que nunca dejen de hacerlo, es por ello debemos de estar actualizados en lo que respecta a materia de seguridad.

fuente: blogs.eset-la.com