Tres investigadores de seguridad de la ULM University han encontrado una vulenrabilidad crítica de Android que compromete nuestra información personal alojada en los diversos servicios de Google, a la cuales estemos registrados. El agujero de seguridad se produce en cualquier equipo de cuente con versiones de Android 2.3.3 o anteriores. Esto es porque el proceso de validación se produce mediante el protocolo HTTP. Google ya confirmó que la versión 2.3.4 de Android está fuera de peligro ya que usa correctamente HTTPS, que es mucho más seguro.

¿Cómo afecta a nuestros equipos?

Cada vez que nuestro smartphone se conecte a una red WiFi pública (hoteles, restaurantes, cafeterias), los servicios de Google automáticamente buscarán autenticación mediante el Android ClientLogin. ClientLogin es un software que permite la validación en varios servicios de Google (fotos, calendarios, contactos, etc) mediante una clave denominada OAuth y que tiene un periodo de validez de 14 días.

En teoría, un atacante podría capturar la clave OAuth y durante el periodo de validez usarla para acceder a todos nuestros servicios libremente como si estuviera en nuestro smartphone. Y si accede a nuestros servicios, accede a nuestros datos.

¿Existe alguna solución?

La única versión que se salva es el Android 2.3.4. Google prepara una actualización para las versiones vulnerables y que irá llegando durante la semana y como es de caracter global y automática no tendremos que descargar nada en nuestros teléfonos.

Hasta que lleguen los parches y la actualización de Google, lo que pueden hacer es desactivar la sincronización de contenidos cuando esten conectados a redes Wi-Fi abiertas.

[via: The Next Web]