Artículos de Seguridad Threat Center ESET Online Scanner Amenazas Explicadas Niveles de Amenazas Consejos Prácticos Casos de Estudio ThreatSense ESET Live Grid
 
Agujero de seguridad en Facebook y Dropbox para smartphones

La forma en que Facebook y Dropbox almacenan los datos de su configuración en dispositivos bajo iOS (iPhone) y Android, puede significar un gran riesgo para la seguridad de los usuarios, según revelan algunas investigaciones.



El investigador de seguridad Gareth Wright, ha revelado que la aplicación para ejecutar Facebook en dispositivos móviles que utilizan iOS, el sistema operativo móvil de Apple (iPhone, iPad, etc.), posee un gran agujero de seguridad basado en que la simple copia de un archivo de un dispositivo en otro diferente, le puede permitir al dueño del segundo dispositivo acceder a la cuenta del usuario original. En el caso de Facebook, esto funciona también en smartphones que se ejecutan en Android.

El mismo fallo parece afectar a la popular aplicación Dropbox, que permite sincronizar archivos entre múltiples dispositivos y computadoras. Hace un mes, el investigador español Alejandro Ramos, publicó una nota al respecto en su blog de seguridad.

En ambos casos, la vulnerabilidad radica en las propias aplicaciones, ya que ambas almacenan sus datos de configuración en un formato de texto plano, en lugar de encriptarlo y protegerlo para que no pueda ser accedido fácilmente.

Aunque Facebook respondió públicamente que sus aplicaciones para dispositivos iOS y Android, están diseñados exclusivamente para su uso con los sistemas operativos originales de los fabricantes, y que los archivos de configuración solo pueden ser accedidos en sistemas modificados por los usuarios (lo que se llama "jailbreak" en el mundo de los sistemas móviles de Apple y "mods" o "parches" en el de Android), esto parece no ser así.

Los investigadores aseguran haber probado el fallo en sistemas sin modificar, logrando el mismo éxito que en los modificados. Facebook de todos modos reconoce el problema y ha anunciado que solucionará el mismo en las próximas versiones de sus aplicaciones.

El mismo fallo posee Dropbox, aunque solo bajo iOS. En una prueba realizada, se copió un archivo de configuración de un perfil creado en un dispositivo con la aplicación instalada y conectada, en otros que tenían una instalación nueva de Dropbox, sin haber iniciado aún sesión. La configuración del usuario original funcionó a la perfección en todos los dispositivos.

En las pruebas se utilizó el acceso físico al dispositivo de la víctima para poder obtener dichos archivos y luego copiarlos en otros dispositivos para que cada uno de sus usuarios pudiera acceder a la cuenta del usuario original. Sin embargo, tanto Dropbox como Facebook, podrían ser atacados en el futuro por algún software malicioso que robe estos archivos.

Por el momento, no existen evidencias de que alguien esté usando este método para recopilar información en su provecho. De todos modos, Facebook es consciente del problema a pesar de su declaración sobre los sistemas sin modificar, y está trabajando en cerrar el agujero.

Dropbox informó que su aplicación para Android no es susceptible a este problema ya que guarda estos archivos en un lugar protegido del sistema, y que está trabajando para actualizar su aplicación para iOS.

Por ahora, lo único que se ha comprobado es que un ataque que se aproveche de este fallo, requiere el acceso físico al dispositivo de la víctima. Y si cualquier persona accede al teléfono de otra persona, ésta última claramente es susceptible a todo tipo de amenazas (no solo a esta vulnerabilidad), por lo que cómo medida primordial se aconseja el uso de una buena clave de acceso al propio smartphone.





Publicado el 10/04/2012

Otras noticias recientes:

Nuevas versiones de ESET Smart Security y ESET NOD32 Antivirus (22/10/2014)
Estafas vía SMS (06/03/2014)
¡Feliz Año Nuevo! (01/01/2014)
Ministerio del Interior de Perú víctima de ataque de hacktivistas (27/12/2013)
Los gamers fueron atacados casi 12 millones de veces en 2013 (26/12/2013)
Más de la mitad de los que usan móviles, prefiere ignorar los riesgos de seguridad (24/12/2013)
¿Será el hackeo de automóviles la siguiente gran ciber amenaza? (20/12/2013)
Crean método para memorizar contraseñas recreando historias (19/12/2013)
Alerta por campaña de phishing que utiliza la muerte de Mandela (18/12/2013)
Irán advierte sobre la posibilidad de un arma más poderosa que Stuxnet (14/12/2013)
Principio de la página Página anterior Imprimir esta página