La gran mayoría de los dispositivos que ejecutan el sistema operativo Android de Google son vulnerables a ataques que permiten a los atacantes robar las credenciales digitales utilizadas para acceder a los calendarios, contactos y otros datos confidenciales almacenados en los servidores del gigante de las búsquedas.

La vulnerabilidad se debe a la aplicación incorrecta de un protocolo de autenticación conocido como ClientLogin, y afecta a las versiones de Android 2.3.3 y anteriores, según explicaron los investigadores de la Universidad de Ulm, Alemania. Cuando un usuario envía las credenciales válidas para Google Calendar, Contactos y, posiblemente, a otras cuentas, la interfaz de programación recupera un token de autenticación que se envía en texto plano.

Debido a que el authtoken se puede utilizar durante un máximo de 14 días en todas las solicitudes posteriores sobre el servicio, los atacantes pueden explotar esto y obtener acceso no autorizado a las cuentas.

“Queríamos saber si es realmente posible lanzar un ataque contra de suplantación de los servicios de Google y así empezó a nuestro análisis. La respuesta corta es: Sí, es posible, y es muy fácil hacerlo.”

Google parcheo el agujero de seguridad a principios de este mes con el lanzamiento de Android 2.3.4, aunque esa versión, y posiblemente Android 3, siguen haciendo una sincronización con los álbumes web de Picasa para transmitir datos privados a través de canales sin cifrar.

Con base en estadísticas propias de Google, esto significa más del 99 por ciento de los teléfonos basados ​​en Android son vulnerables a los ataques, que son similares en crisis y el efecto de los llamados exploits sidejacking, que roban las cookies de autenticación.

Fuente.