Según un reportaje de la publicación británica The Register, existe una seria vulnerabilidad en casi todos los teléfonos con Android que puede permitir a un atacante capturar lo que se conoce como un digital token (que se genera cuando el usuario se autentica al acceder a algún servicio protegido por contraseña). Ese token puede ser usado hasta por 14 días para volver a acceder a diferentes servicios. Dice el reportaje que la vulnerabilidad en cuestión existe en las versiones 2.3.3 hacia atrás y consiste en una mala implantación del protocolo ClienLogin.  Cito del artículo la explicación de la vulnerabilidad:

“After a user submits valid credentials for Google Calendar, Twitter, Facebook, or several other accounts, the programming interface retrieves an authentication token that is sent in cleartext. Because the authToken can be used for up to 14 days in any subsequent requests on the service, attackers can exploit them to gain unauthorized access to accounts.”

Un atacante puede acceder al token digital desde cualquier conexión WiFi sin encriptar con un SSID común, como las que existen en restaurantes de comida rápida, algunos hoteles y cybercafés. Una unidad Android con “default settings” y WiFi encendido tratará de conectarse automáticamente a redes WiFi donde se ha conectado anteriormente e intentará sincronizar sus aplicaciones, gestión que seguramente fallará, pero le dará tiempo al atacante a capturar los authTokens de cada servicio que intentó la sincronización.  A pesar de que Google ya emitió un parcho para corregir el problema en las versiones 2.3.4 y 3.0, The Register indica que solamente el 1% de los dispositivos lo ha instalado. Las recomendación es, mantener el WiFi apagado mientras no se vaya a utilizar y al momento de usarlo, si es una conexión abierta, no acceder a cuentar como Gmail, Facebook o Twitter.

Actualizado 19/mayo: Google está distribuyendo un parcho para resolver el problema.

Fuente: BGR, The Register