La autentificación 'un clic' de Android pone en peligro a los usuarios

MADRID, 12 (Portaltic/EP)

El sistema de autentificación mediante un clic de Google (NasdaqGS: GOOG - noticias) en Android puede poner en peligro la seguridad de los usuarios, según ha demostrado un experto mediante una aplicación falsa. Este método de identificación, denominado 'weblogin', permitiría a 'hackers' acceder a los datos privados de la cuenta de Google del usuario.

Desde que el sistema operativo de Android se lanzó hasta convertirse en uno de los más extendidos a día de hoy, han sido varios los expertos y compañías de seguridad las que han descubierto vulnerabilidades. Prueba de esta proliferación de 'malware' son las 718.000 amenazas detectadas para dispositivos Android recientemente en un estudio.

En esta ocasión, el riesgo viene dado por el sistema de autentificación de un clic que ofrece el gigante de Internet. Este mecanismo, denominado 'weblogin', permite acceder a determinadas páginas sin tener que introducir ningún tipo de contraseña ni información, ya que el sistema utiliza los datos de la cuenta de Google del usuario para 'loguearse'.

Este método resulta realmente útil en el sentido que evita tener que registrarse al usuario y ahorra algo de tiempo y molestias. Sin embargo, el 'weblogin' puede suponer un importante riesgo para la seguridad del usuario, tras las últimas investigaciones llevadas a cabo por el experto Craig Young y que ha recogido la web PC World.

El investigador ingenió una aplicación falsa, con una apariencia similar a la de Google Finance, y la lanzó a la Play Store indicando claramente que se trataba de una 'app' maliciosa. Durante su instalación, la aplicación pide permiso al usuario para encontrar y usar las cuentas del dispositivo y acceder a la web.

ACEPTAR A CIEGAS

A continuación, aparece otro aviso que solicita acceso a una URL que comienza con 'weblogin'. Según el fundador de esta aplicación, este segunda advertencia es totalmente desinformativa, por lo que la mayoría de los usuarios probablemente aceptarían la petición.

Si esto ocurre, los usuarios son inscritos automáticamente en la web de Google Finance y, a la vez, la identificación se desvía a través de una conexión encriptada que desemboca en un servidor controlado por un hacker. "Y el problema es que la autentificación de 'weblogin' no funciona solo para Google Finance, sino para todos los servicios de Google", explicó Young.

Por ejemplo, este sistema puede proporcionar acceso a los documentos de la víctima de Google Drive, correo de Gmail, entradas del calendario de Google Calendar, historial de búsquedas Google Web o a información que pueda ser privada que esté almacenada en las aplicaciones de Google.

Además, de esta manera también se podría irrumpir en la cuenta de Google Play del usuario e instalar de forma remota aplicaciones en el dispositivo de este. Asimismo, el hacker tendría la posibilidad de cambiar contraseñas así como de crear y modificar listas de mails, e incluso añadir nuevos usuarios con privilegios administrativos.

Enlaces relacionados:

- PC World (http://www.pcworld.com/article/2045903/android-oneclick-google-authentication-method-puts-users-businesses-at-risk.html).

- 718.000 vulnerabilidades afectan a Android(http://www.europapress.es/portaltic/software/seguridad-00646/noticia-718000-amenazas-conocidas-afectan-dispositivos-android-20130807144510.html).