• Tweet

Los teléfonos móviles con sistema operativo Android fallan al cifrar los datos enviados desde y para Facebook y Google Calendar, estas deficiencias pueden poner en peligro cientos de millones de datos privados de usuarios, asevera un científico de la computación.

En un simple ejercicio para la clase de seguridad Informática de nivel licenciatura en la Universidad de Rice, el profesor Dan Wallach conectó un sniffer de paquetes en la red y observó el tráfico enviado desde y hacia su teléfono con Android, cuando comenzó a utilizar varias aplicaciones disponibles para la plataforma móvil de Google, quedó sorprendió de lo que vió.

La aplicación oficial Facebook, por poner un ejemplo, transmite todo excepto la contraseña en claro, esto lo publicó Wallach el martes en un blog. Esto significa que todos los datos de mensajes privados, fotos que se suben y otras operaciones son visibles a espías, incluso aun cuando las cuentas hayan sido configuradas recientemente para usar Facebook con cifrado SSL, según para evitar el espionaje en las redes inseguras.

"Sea para bien o para mal, las personas tratan a Facebook como algo más que personal y privado", dijo Wallach a The Register. "Con Facebook nosotros nunca vimos una contraseña que viajara en claro, sin embargo los demás datos viajaban sin cifrar, lo cual es interesante porque puse mi cliente Web en Facebook usando la función de SSL en todo momento. Esto hace reflexionar sobre la aplicación de Facebook en Android".

El portavoz de Facebook, dijo "A pesar del lanzamiento de SSL para el sitio Web, nosotros todavíaa estamos haciendo pruebas en todas las plataformas de Facebook, y esperamos que se proporcione una opción para nuestros usuarios con dispositivos móviles en los próximos meses". La compañía advierte a los usuarios y les pide tener cuidado de usar redes Wifi inseguras, pero nunca se les dijo explícitamente que su aplicación para "smartphones" fallará al momento de cifrar el tráfico.

"Google Calendar" muestra un descuido similar al mostrado en el experimento de Wallach, en el cual también se envían y reciben datos en claro. Eso hace posible que personas curiosas puedan ver el horario de ingreso al servicio cuando se accede a través de redes inseguras.

Un portavoz de Google dijo en un correo electrónico: "Tenemos la intención de comenzar a cifrar el tráfico en Google Calendar en Android, que será implementado en futuras versiones. En tanto como sea posible, nosotros recomendamos utilizar redes WiFi cifradas". No dijo cuánto tiempo los usuarios tendrían que esperar.

Wallach se encontró con varias aplicaciones de otros que tuvieron un enfoque deficiente acerca de la privacidad del usuario. Por ejemplo la aplicación Soundhound de "reconocimiento de canción", transmite las coordenadas GPS del usuario con una señal tan fuerte que llega al final de la calle, y esto lo hace cada vez que se realiza una petición del servicio, a pesar de que la aplicación funciona muy bien sin esa información. Un servicio llamado ShopSaavy tiene detalles similares, pero por lo menos con esa aplicación, el argumento de usar la ubicación física del usuario es más creíble para el funcionamiento del servicio.

Ninguna de las aplicaciones probadas por Wallach transmiten contraseñas en claro.

Poco después de que Wallach publicara sus resultados, Sean Sullivan, investigador de F-Secure escribió en un blog sobre otra deficiencia en la oferta de SSL de Facebook. Al parecer algunas aplicaciones de Facebook puede deshabilitar esta característica.