Google ya se encuentra trabajando para resolver el último fallo de seguridad reportado en Android. Gracias a éste, los datos personales almacenados en las cuentas de Google han quedado comprometidos, por lo que urge la actuación de la compañía para solventar el problema.
Parece una noticia bucle durante los últimos meses pero es la pura realidad. Los fallos de seguridad en Android y su detección se han disparado durante 2013 para malestar de los usuarios que confían en el sistema operativo de la firma estadounidense. El último de ellos ha sido revelado durante la conferencia de seguridad Defcon 2013 y vuelve a ser de cierta gravedad ya que se ponen en riesgo las cuentas de los millones de usuarios de los servicios de Google.
El investigador en materia de seguridad Craig Young ha sido el encargado de destapar este nuevo agujero. En concreto hace uso de un fallo en el protocolo de autenticación en un solo paso del que presume la plataforma y que es muy del gusto de los usuarios por la facilidad para utilizar los servicios de Google y compartir diferentes aplicaciones de la forma más sencilla.
Sin embargo, esta útil función puede ser utilizada con fines maliciosos tal y como demostró Young. Para ello creó una aplicación que se presentaba como un servicio que permitía seguir el cambio de valores en la bolsa. Al instalarse pide al usuario permiso para encontrar cuentas asociadas al móvil, algo que por sí no es peligroso y es habitual en este tipo de apps. Sin embargo, al utilizar la aplicación por primera vez exige la autorización para acceder a nuestra cuenta de Google Finanzas y en caso de autorizarla, la app también consigue el acceso a todos los demás servicios de Google usados por el usuario.
Esto permitiría, según aclara el propio Young, que un hacker malicioso pudiese acceder a toda la información almacenada en la cuenta Google, desde correos en Gmail, archivos en Drive, agenda de direcciones y citas hasta el punto de poder instalar de forma remota aplicaciones de la Google Play en el terminal del usuario. Además, puede acceder a datos sensibles de una empresa en caso de que exista una cuenta asociada a Google Apps for Business.
El investigador afirmó que reportó en febrero el fallo de seguridad al gigante estadounidense, que desde entonces se encuentra trabajando para solucionarlo pero que hasta ahora no lo ha tapado por completo. Esperemos que no tarde en hacerlo, puesto que hasta entonces los datos de quienes confían en Google y sus servicios se encuentran en riesgo de acabar en manos indeseadas, por lo que la precaución a la hora de instalar aplicaciones pasa por ser el mejor arma contra esta amenaza.