19 mayo, 2011
Google acaba de solucionar una falla de seguridad que exponía los datos del calendario y la lista de contactos de los usuarios, los cuales podían ser accedidos desde redes Wi-Fi no seguras. El agujero afectaba a la mayoría de los equipos con Android del mercado.
“Hoy comenzamos a difundir un parche para corregir una falla de seguridad que, bajo determinadas circunstancias, permitiría el acceso a datos disponibles en el calendario y los contactos”, indicó un portavoz de Google mediante un comunicado. “Este parche no requiere ninguna acción por parte del usuario y se lanzará mundialmente durante los próximos días”, añadió.
La falla que pueden aprovechar los atacantes está presente en las primeras versiones de Android, que representan al 99 por ciento de las personas que usan este sistema operativo. La versión 2.3.3 y anteriores fallan al transmitir datos de autenticación (tokens) sobre canales encriptados.
Los hackers que monitorean puntos Wi-Fi y otras redes abiertas pueden explotar la vulnerabilidad copiando las authTokens y usándolas para obtener acceso no autorizado a las aplicaciones Google Calendar y Google Contacts del usuario.
Esta falla también puede causar que la sincronización con Picasa Web Albums transmitan información sensible a través de canales no encriptados, según indicaron investigadores de la Universidad de Ulm, en Alemania. Por su parte, el vocero de Google indicó que el equipo de seguridad de la empresa todavía está investigando esta cuestión.
