Si tienes un dispositivo Android, es muy probable que tengas activada por defecto la opción de que tus datos tengan una copia de seguridad en los servidores de Google. Esta es una de las grandes ventajas del sistema operativo, y gracias a ella podemos tener nuestros datos en todos los dispositivos con Android que tengamos. Simplemente tenemos que introducir nuestro correo de Gmail y nuestra contraseña, y obtendremos los datos de las aplicaciones, los datos de usuario de Google, y muchas mas cosas. Y entre ellas, está la contraseña de los dispositivos WiFi a los que nos hemos conectado.
Esto tampoco está nada mal, ya que si nos hemos comprado un dispositivo nuevo no tendremos que configurarlo de nuevo para poder navegar con nuestras conexiones Wifi. Pero hay un problema con esta configuración, y es que manda las contraseñas en texto plano. Con esto nos referimos a que esos datos no están encriptados, y en caso de ser interceptados se pueden leer fácilmente sin necesidad de hacer nada. Es algo sorprendente que a Google se le haya pasado esto, ya que el resto de datos, como las contraseñas que usamos en Chrome, sí que están encriptados de manera segura.
El principal caso en el que mandar una contraseña en texto plano es peligroso es en los ataques MITM (Man in the Middle, hombre en el medio). Este tipo de situaciones consisten en un atacante que captura las comunicaciones entre dos sistemas, y obtiene absolutamente todo lo que pasa por ellas. Por supuesto, si está encriptado le costará mas leerlo que si no lo está. Para ejecutar un ataque MITM, el atacante debería tener acceso a nuestras comunicaciones, por ejemplo a través de nuestra operadora o proveedor de Internet, o, también, a través de nuestra red Wifi.
Las contraseñas de nuestras redes Wifi son un dato que por si solo no sirve de nada, pero en conjunción con el nombre y localización de la red sirven para entrar en ella y realizar otro tipo de ataques mas severos a nuestros dispositivos. Por ejemplo, muchos están uniendo puntos y preguntándose qué utilidad pueden tener la contraseña de la Wifi a agencias de espionaje como la NSA, que en conjunción con datos de la localización de las redes Wifi aportadas por la propia Google, podrían entrar en las redes de cualquiera sin problemas.
No está muy claro si Google solucionará este problema, o si puede hacerlo. Y es que la encriptación no es tan sencilla como cambiar caracteres: hacen falta elementos como una llave única, que eliminaría la comodidad de poder usar las claves en todos nuestros dispositivos de manera sencilla. Otra opción sería usar el mismo sistema que usa para las contraseñas para Chrome, pero no es seguro que sea algo que se pueda hacer tan fácilmente y tendría consecuencias. Sea como fuere, estaremos atentos a las reacciones por parte del equipo de seguridad de Android.
Fuente | Bug 57560 de Android