Facebook y otras aplicaciones en móviles susceptibles al robo de contraseñas

Los teléfonos inteligentes o smartphones son cada vez más semejantes a una computadora tradicional. Dotados de hardware más sofisticado con mayor capacidad de cálculo, estos dispositivos permiten realizar una mayor cantidad de tareas como navegar...

Fecha de publicación: 19 Abr, 2012 - 16:47:30
Última actualización: 19 Abr, 2012 - 16:56:05



Comentarios Comentarios de esta nota

Facebook y otras aplicaciones en móviles susceptibles al robo de contraseñas

Los teléfonos inteligentes o smartphones son cada vez más semejantes a una computadora tradicional. Dotados de hardware más sofisticado con mayor capacidad de cálculo, estos dispositivos permiten realizar una mayor cantidad de tareas como navegar...


Los teléfonos inteligentes o smartphones son cada vez más semejantes a una computadora tradicional. Dotados de hardware más sofisticado con mayor capacidad de cálculo, estos dispositivos permiten realizar una mayor cantidad de tareas como navegar por Internet a mayor velocidad, hacer trámites bancarios, revisar correo electrónico y usar redes sociales.

Aunque esto pueda parecer a primera vista algo absolutamente positivo, su uso no está exento de riesgos inherentes a la tecnología inalámbrica como el robo o extravío del dispositivo, o en este caso, el almacenamiento de credenciales de acceso a distintas redes sociales sin ningún tipo de protección por parte de la aplicación.

En primer lugar, la aplicación móvil de Facebook tanto en su versión para Android como para iOS (iPhone) puede conllevar serios problemas para la seguridad y privacidad del usuario.

La falla se origina debido a que esta almacena en un archivo denominado plist, información sensible de la cuenta de la persona como su nombre y contraseña de acceso sin ningún tipo de cifrado, es decir, en texto plano, legible para cualquiera.

Esta situación se agrava aún más si se considera que este archivo plist es compartido con aplicaciones de terceros que requieren del acceso a esta red social como un software para compartir fotos.

Por lo mismo, es posible afirmar que esta vulnerabilidad de diseño facilita considerablemente que un atacante desarrolle aplicaciones maliciosas que se aprovechen de esta situación para acceder ilícitamente a las cuentas de las potenciales víctimas con tan sólo solicitar la información sin cifrar de plist.

De acuerdo a Gareth Wright, quien descubrió esta falla, los datos permanecen por un período de 60 días luego que se ha solicitado el acceso a Facebook. Además, el experto afirma que el fichero plist tiene una fecha de caducidad establecida para el primero de enero del año 4001, siendo este mecanismo de protección absolutamente inútil.

Pese a que Facebook se comprometió a verificar el problema, la respuesta no ha dejado conforme a muchas personas debido a que la empresa afirma que este problema sólo se presentaría en equipos móviles modificados o iPhones que se le haya realizado un Jailbreak, sin embargo.

La misma investigación de Wright plantea que este fallo sí se presenta en dispositivos sin modificar ya que es posible que un atacante desarrolle un código malicioso capaz de obtener el fichero plist en cuestión cuando el teléfono inteligente es conectado a la computadora para cargarlo o pasar información y no necesariamente a través de malware creado específicamente para la plataforma móvil.

En segundo lugar, la aplicación mobile de Dropbox, servicio que permite almacenar en la nube distintos archivos, también es susceptible a este problema pero sólo en iOS.

La empresa se comprometió a solucionar el problema lo antes posible sin importar la modificación del smartphone. En tercer y último lugar, LinkedIn para la misma plataforma, también presenta este error de diseño, permitiendo teóricamente que un código malicioso sea diseñado para cumplir este objetivo cuando el dispositivo es conectado a la computadora.

Como forma de prevenir este problema, es importante establecer un código de protección de más de cuatro dígitos. De este modo, esta vulnerabilidad de diseño queda sin efecto siempre y cuando el smartphone no haya sido conectado previamente a una computadora infectada con la opción de passcode desactivada y la misma no sea ingresada.

La idea es mantener el dispositivo bloqueado en PCs desconocidas y sólo utilizarlas para cargar la batería. En Android y teléfonos inteligentes en general, recomendamos seguir la misma política de bloqueo por contraseñas de más de cuatro dígitos con el fin de prevenir no sólo este sino también otros problemas de seguridad como que un tercero pueda acceder a la información almacenada si el dispositivo es extraviado.

Por otra parte mencionar que ESET Mobile Security agrega una barrera más de protección a este problema al permitir la remoción remota de la información del equipo móvil en caso que este se pierda.

Publicado por: Redaccin/



Comentarios ¿Qué opinas? ¡Deja un comentario!



ATENCIÓN:
¿Tienes información adicional para ampliar esta nota? Cualquier corrección, anotación, aporte o comentario al respecto de esta página o del sitio son bien recibidos.

DENUNCIAS:
¿Has sido testigo de una noticia que quieras compartir? ¿Quieres hacer una denuncia?

¡COMUNÍCATE CON NOSOTROS!
Para comunicarte con nosotros por correo electrónico o WhatsApp y enviarnos tus historias, reportes, fotos y videos haz CLICK AQUÍ

linea azul

Comentarios

Nota: Los comentarios publicados en esta sección son responsabilidad de sus autores. Eres libre de expresar tu opinión de manera educada. Si deseas que tu mensaje aparezca, no insultes ni utilices lenguage soez, de lo contrario será filtrado por los moderadores. Nos reservamos el derecho de eliminar sin previo aviso cualquier mensaje que consideremos inapropiado.


DISCULPA, LOS COMENTARIOS ESTÁN DESACTIVADOS TEMPORALMENTE


Aviso: Somos un medio de comunicación digital amplio, laico, apartidario y abierto a todas las opiniones y criterios. Consideramos inalienables los derechos a opinar y ser informado, y estimamos indispensable el debate y el disenso en todos los temas y asuntos.

Nuestros contenidos son para propósitos informativos únicamente. Muchos de los artículos publicados en nuestro sitio son basados en opiniones y deben ser tomados como tales. No somos responsables por las decisiones que los usuarios tomen basados en el contenido de Deguate.com.

Los textos publicados en Deguate.com son responsabilidad de sus autores y autoras y no reflejan necesariamente el punto de vista de este medio.

Todas las imágenes que aparecen en el sitio tienen derechos de autor de sus respectivos propietarios y Deguate.com no reclama ningún crédito por ellas a menos que se indique lo contrario. Si posee los derechos de cualquiera de las imágenes y no desea que aparezcan en el sitio, comuníquese con nosotros y se eliminarán de inmediato.