19

Seguridad Android (1/88): te pueden ver las contraseñas guardadas en el navegador

04 Nov 2010 Artículos, Desarrollo, Sistema

Durante esta semana hemos leído en casi todos los blogs de tecnología la frase esa de “después de analizar trillones de líneas de código se han detectado 359 bugs en Android de los que 88 son agujeros de seguridad“. Pero no he visto ni un solo sitio que concreten donde están, como reproducirlos y cómo evitarlos. Aqui tenemos uno: se pueden recuperar las contraseñas almacenadas en el navegador.

En fin, el otro día me envió un mensaje @JavierCane (aficionado tirando a experto en seguridad en internet) con unos pasos para ver los passwords guardados en el navegador de Android. Lo pasé a la gente del GTUG de Barcelona y efectivamente es posible (un punto para la gente del GTUG y un motivo para apuntarse). Son los siguientes:

1. Rootea el móvil, si no lo está ya.
2. Conectalo al pc/mac via usb para poder usar el comando adb.
3. Desde el terminal ejecuta adb pull /data/data/com.android.browser/databases/webview.db
4. Instala sqlit3 (apt-get install sqlite3 on Ubuntu)
5. Ejecuta: sqlite3 webview.db
6. Y finalmente ejecuta: SELECT * FROM password;

Aparecerán tus contraseñas almacenadas en un listado.

A ver, el móvil tiene que estar rooteado (un punto más a la lista de motivos por los que no hay que yo no rooteo el móvil), lo tienen que conectar por USB al PC/Mac o sea, tendríamos que perder el móvil o dejarlo ‘descuidado’ para que nos pudieran quitar las contraseñas pero la información en riesgo es muy importante (al menos en mi caso) como para no tenerlo en cuenta.

Solución: para google es que encripte passwords y que pida contraseña del móvil antes de dar acceso a esas tablas. Para usuarios, la primera es no guardar passwords (XD), la segunda es usar Opera u otro navegador cuya tabla de passwords esté más oculta.

Nota: que nadie se piense que sólo Android tiene agujeros de seguridad por el simple hecho de que estos sean públicos.

Recapacitación: escribiré un artículo más completo, pero simplemente pienso que el móvil cada vez más y más en el futuro, va a contener información tan confidencial que habrá que tomar medidas para poder ‘destruir’ la información almacenada en remoto en cualquier momento.

Descargar

carthesian

Los matemáticos no sumamos, nos aseguramos que la suma funcione. Trabajo en everis, registré el dominio roid.es y el twitter @androides, escribí el primer post de and.roid.es y cientos después. Últimamente, escribo poco pero intento que el artículo tenga algo de valor.

Website - More Posts

19 Responses to Seguridad Android (1/88): te pueden ver las contraseñas guardadas en el navegador


  1. Cesar Ramos
    Nov 04, 2010

    Para la ultima parte del articulo tenemos WaveSecure https://www.wavesecure.com/


  2. sansa
    Nov 04, 2010

    También respecto a tu último parrafo:

    “Recapacitación: escribiré un artículo más completo, pero simplemente pienso que el móvil cada vez más y más en el futuro, va a contener información tan confidencial que habrá que tomar medidas para poder ‘destruir’ la información almacenada en remoto en cualquier momento.”

    Existen aplicaciones para ello, pero estoy de acuerdo contigo en que esto se tendría que poder hacer de forma nativa, al estilo del BES de Blackberry o el nuevo Blackberry Protect.


  3. iSuriv
    Nov 04, 2010

    Estaría bien cerrar estos pequeños bugs con mini-actualizaciones a las aplicaciones que afectan o al sistema

    Si son del navegador… pues el navegador, si en nativa… A mi me gusta lo de actualizar, el problema que se enfrenta Android diariamente es si existe estos bugs. ¿Cuanto tiempo me lo aplica el fabricante para solucionarmelo?


  4. rallat
    Nov 04, 2010

    @sansa ya se que nadie se ha enterado pero si tu empresa usa google apps ya se puede eliminar de forma remota :)
    http://googlemobile.blogspot.com/2010/10/bring-your-phone-to-work-day-managing.html


  5. Rubén González Muñoz
    Nov 04, 2010

    NO es necesario conectarlo a un PC (sea windows o mac), desde el propio teléfono se puede hacer perfectamente en menos de un minuto.


  6. Rubén González Muñoz
    Nov 04, 2010

    Y que conste, esto no es un bug de los del kernel. Es parte del diseño de la aplicación: En principio sólo ella puede acceder a esa información, pero siendo root puedes ignorar esa limitación.

    Cosas de ese estilo pasan en cualquier SO con acceso de superusuario.


  7. carthesian
    Nov 04, 2010

    Hombre, al menos, los passwords podrían estar encriptados. Te dejo mi mac o e vaio con ubuntu y no eres capaz de sacar los passwords de navegación.


  8. Nenillo
    Nov 05, 2010

    Eso no es un fallo de seguridad propiamente dicho, eso es una característica insegura de cualquier programa que almacene contraseñas.

    Esto mismo también ocurre en Firefox o Thunderbird por ejemplo, y en cualquier otro navegador que almacene contraseñas.

    Da igual que se encripten u oculten un poco, si el proceso de recordar la contraseña tiene que ser totalmente automático el navegador tiene que tener el método para decodificar esos datos sin acción del usuario y por tanto se puede acabar obteniendo las contraseñas en formato plano se guarden como se guarden los datos.

    La única solución sería pedir una contraseña general del llavero (keyring) al usuario cada cierto tiempo y no guardar nunca esa contraseña más que en la memoria durante un tiempo limitado. De esta forma las contraseñas almacenadas serían ilegibles sin la contraseña maestra.


  9. Nenillo
    Nov 05, 2010

    carthesian: No tiene nada que ver con el SO, ni es un fallo de seguridad, ¡es algo intencionado! En Firefox solamente tienes que ir a Opciones > Seguridad > Contraseñas guardadas… ¡Y el propio programa te muestra todas tus contraseñas!


  10. José Luis
    Nov 05, 2010

    Está claro que para encriptar algo al final necesitas la colaboración del usuario para que entre algo que solo él sabe (o una característica biométrica como BioWallet Signature). Si el propio navegador guardara la contraseña de encriptación… ¿cómo lo haría? ¿en plano? ¿encriptada? Y si la encripta… ¿qué hace con la contraseña que encripta las contraseña que encripta las contraseñas? :)


  11. Jose
    Nov 05, 2010

    ¿Qué pensáis de herramientas de gestión de passwords como Last Pass?


  12. José Luis
    Nov 06, 2010

    Hombre, yo siempre recomiendo utilizar un gestor de contraseñas para así poder usar contraseñas largas, aleatorias y diferentes para cada sitio sin necesidad de recordarlas.

    [PUBLI ON]
    Claro que puestos a elegir prefiero BioWallet Signature que encima es producto nacional. Además la semana que viene estará disponible una extensión para Chrome que te permite guardar y acceder de forma muy sencilla desde el navegador del PC a las contraseñas almacenadas en tu móvil.
    [PUBLI OFF]

    Disclaimer: Soy parte del equipo de BioWallet Signature, pero en serio, ya sea BioWallet o cualquier otro password manager creo que usar este tipo de herramientas siempre es una buena idea ;)


  13. José Luis
    Nov 10, 2010

    Por cierto, este tema nos ha llamado mucho la atención y hemos publicado un post en nuestro blog analizándolo en profundidad y demostrando como una aplicación muy simple puede obtener tus contraseñas en caso de que no tomes ciertas medidas de precaución.

    http://www.mobbeel.com/es/tus-passwords-no-estan-seguros-en-android/

    Un saludo,

    José Luis.

Trackbacks/Pingbacks

  1. Bitacoras.com
  2. Tweets that mention Seguridad Android (1/88): te pueden ver las contraseñas guardadas en el navegador | and.roid.es -- Topsy.com
  3. Froyo updates: FRG83D para Nexus One | and.roid.es
  4. Froyo updates: FRG83D para Nexus One | Todo sobre Moviles
  5. Your passwords are not safe in Android
  6. Tus contraseñas no están seguras en Android

Leave a Reply




Android is a trademark of Google Inc. Android.es has no relation with Google Inc. or Android
t
Performance Optimization WordPress Plugins by W3 EDGE