Si eres usuario de Android, hay un 99% de posibilidades de que también lo seas de Google, y quieras usar tu cuenta en los diversos servicios web que tiene la compañía. Afortunadamente, Google lo sabe, y por eso, si hemos asociado nuestra cuenta al dispositivo Android, cada vez que visitamos una de sus páginas nos permite iniciar sesión fácilmente con un solo toque, sin necesidad de introducir nuestro usuario y contraseña. Esto es muy conveniente, nos ahorra tiempo y tiene sentido, ya que en todo momento estamos usando productos de la misma compañía. El problema es que esto ha abierto un nuevo tipo de ataque que puede dejar nuestra cuenta en manos de extraños.
Craig Young, investigador de la compañía de seguridad Tripwire, así lo ha demostrado con una aplicación que creó, gracias a la cual podía acceder a las cuentas de Google de cualquiera que las instalase. La app era una copia de Google Finance, el servicio para seguir la bolsa y las acciones de compañías. Una vez instalada, la app pide permisos para acceder a las cuentas del dispositivo, pero las medidas de seguridad de Android impiden que pueda copiar esos datos a ningún sitio. Para conseguirlo, a continuación abre la dirección web de Google Finance, y pide al usuario que se identifique. Es en este proceso en el que puede copiar el llamado «token», o clave identificadora, a un servidor externo de su propiedad.
Dicha clave no solo sirve para iniciar sesión en Finance, sino en cualquier otro servicio de Google. De esta manera, el atacante tendría acceso a los correos de Gmail, los archivos de Drive, e incluso podría instalar y borrar aplicaciones de nuestro dispositivo Android a su gusto. Igualmente, si el usuario es administrador en la cuenta de Google Apps de una compañía, el atacante tendrá acceso a sus archivos, en un caso flagrante de espionaje industrial.
Por ahora Google está reaccionando de manera algo lenta, ya que conoce este bug desde Febrero pero ha acometido pocos pasos para cerrarlo. Por el momento ha limitado la posibilidad de obtener datos a través de Google Takeout, pero el resto de acciones siguen siendo posibles. Además, la app se saltó el análisis de Google y acabó en Google Play, si bien con un gran aviso de su creador de que era dañina y que no debía instalarse. Pasó alrededor de un mes hasta que la app fue eliminada de Google Play, y ya no es posible instalarla sin un aviso de malware.
Está por ver qué medidas tomará Google ahora que se ha hecho público este bug, aunque por ahora solo podemos evitar el uso de apps sospechosas y evitar el uso de Google Apps en Android si somos administradores. Además, Young recomienda no permitir apps que pidan permisos con las palabras «weblogin» (acceso web) o «ID» (identificador).
Fuente | PCWorld