• Tweet

Google declaró que está comenzando a “distribuir una solución dirigida a una potencial falla de seguridad en Android que podría, bajo ciertas circunstancias, permitir a un tercero acceder a los datos disponibles en el calendario y a la agenda de contactos”. La solución se desplegará a nivel mundial en los próximos días, dijo un portavoz de Google en un comunicado oficial. No será necesaria la interacción de los usuarios para cerrar el agujero de seguridad.

Sin embargo, la compañía no proporcionó ningún detalle sobre la forma en que pretende resolver el problema exactamente. De acuerdo con algunos reportes, Google espera configurar sus servidores para forzar una comunicación cifrada utilizando el protocolo HTTPS cuando se realice la sincronización de los elementos del calendario y de contactos.

Para la aplicación Picasa, ésta no parece ser una opción y se dice que Google está trabajando en una solución alternativa. La compañía tampoco parece haber solucionado el problema de Picasa en el firmware. Picasa continua transmitiendo el token de autenticación en texto plano, incluso en la versión 2.3.4, donde Google Calendar y Google Contacts no se sincronizan y la mayoría del tiempo no cuentan con cifrado.

Investigadores de la universidad de Ulm en Alemania habían descubierto una vulnerabilidad en la transmisión de datos que permite a un atacante obtener acceso no autorizado y manipular la información de Google Calendar, Google Contact y Picasa Web Album de otros usuarios. El problema se presenta porque un token de autenticación (Auth Token), que se recibe al iniciar la sesión en el servidor de Google, se transmite posteriormente en texto plano por algunas aplicaciones cuando se realizan nuevas peticiones a los servidores de Google. En las redes WI-Fi sin cifrado, donde todos los usuarios utilizan la misma clave, los atacantes pueden utilizar Wireshark para interceptar la señal y utilizarla para sus propios fines.