• Tweet

Casi todos los teléfonos inteligentes Android son vulnerables al robo de datos personales cuando se conectan a una red Wi-Fi sin cifrado, revelaron investigadores de seguridad.

Espiando los datos enviados a las aplicaciones Google Calendar, Contacts y Picasa, los hackers podrían robar las credenciales de inicio de sesión y tener acceso completo a las cuentas.

"Por ejemplo, el adversario puede tener acceso completo a la agenda, información de contactos o álbumes privados de la web del usuario de Google respectivo", escribieron los investigadores de la Universidad de Ulm.

"Esto significa que el adversario puede ver, modificar o borrar contactos, eventos del calendario, o fotos privadas. Esto no se limita a los elementos actualmente sincronizados, sino que afecta a todos los artículos de ese usuario".

Los datos vulnerables son conocidos como Tokens de Autenticación. Permiten a los usuarios acceder a servicios en línea a través de aplicaciones por un máximo de dos semanas cada vez.

Normalmente los Tokens de Autenticación son enviados a los teléfonos inteligentes como archivos cifrados, pero los investigadores encontraron que los terminales con Android hasta la versión 2.3.3, los reciben como archivos de texto sin formato que pueden ser leídos por quien sea.

Usando software para realizar "sniffing", los hackers pueden tomar los datos desde el aire, haciendo "muy fácil" el secuestro de cuentas de Google Calendar, Contacts y Picasa, dijeron los investigadores.

Google ha dicho que es consciente de la vulnerabilidad y la ha corregido en la última actualización de Android, la versión 2.3.4.

Sin embargo, 99.7% de los teléfonos Android ejecutan la versión 2.3.3 o una anterior, y el horario de la actualización es controlado por las redes móviles, no por los usuarios.

Los investigadores, que publicaron sus resultados en línea, recomiendan a los usuarios de Android evitar conectarse a través de redes Wi-Fi sin cifrar hasta que reciban la versión 2.3.4.