Un profesor del Center for Information Technology de la Universidad de Princeton realizó junto a sus alumnos un experimento bastante sencillo: configurar un sniffer e ir analizando todo lo que un teléfono Android iba enviando a la red mediante Wi-Fi, utilizando varias aplicaciones.

Problemas de seguridad en redes Wi-Fi abiertas

Ante todo, hay que recalcar que el problema existe cuando se usan redes Wi-Fi abiertas, en las que el tráfico no se transmite cifrado y cualquier receptor pasivo puede acceder al contenido de los paquetes lanzados al aire. No hay problema cuando utilizamos la red 3G de la operadora, puesto que las transmisiones están cifradas.

Los resultados fueron bastante sorprendentes, ya que a pesar de que la gran mayoría de las aplicaciones oficiales de Google (GMail, Voice…) sí cifran los datos, Calendar no lo hace, con lo que cualquier usuario malintencionado podría suplantar a otro de cara al servicio de agenda.

Este problema también afecta a una de las aplicaciones más populares de todas: Facebook. Ésta, envía todo, absolutamente todo, en claro (sin cifrar). Incluso, se capturó incluso alguna consulta SQL. Todo ello aunque en la configuración de la cuenta se haya seleccionado que se quieren todas las comunicaciones cifradas; configuración que al parecer en Android no se aplica. Por lo tanto, podría ser relativamente fácil añadir publicaciones en una cuenta ajena.

Twitter también se comunica sin cifrar los datos, aunque en esta ocasión no hay tanto problema. Primero, porque finalmente cualquier tweet lo normal es que acabe siendo público para el 100% de la red y, como emplea firmas OAuth para autenticar el usuario, es bastante más difícil que a partir de los datos obtenidos se logre atacar una cuenta.

Luego, probaron algunas aplicaciones más: SoundHound y ShopSaavy envían las coordenadas GPS cuando se les realiza una petición y Angry Birds sólo envía el modelo del teléfono cuando se pulsa en un anuncio.

Los programadores deben tener muy en cuenta la seguridad de sus usuarios

Tras todas estas pruebas, está claro que los desarrolladores de aplicaciones deberían tomarse más en consideración la integridad y confidencialidad de los datos que se envían con ellas, ya que con la enorme proliferación de este tipo de terminales se hace más probable que cualquier persona con malas intenciones capture información personal de otro, e incluso pueda utilizarla para suplantar su identidad en redes sociales u otras aplicaciones web.

Por el momento, el problema se solventa simplemente no utilizando redes Wi-Fi abiertas (sin contraseña), y conectándose siempre a través de redes 3G o Wi-Fi protegidas. O, en caso de ser imprescindible usar redes abiertas, empleando un túnel VPN.

 

Fuente: bandaancha