13

Te pueden robar el password si usas la aplicación oficial de Twitter para Android

28 Jul 2010 aplicaciones, bugs, En portada, Utilidades

Según las pruebas que ha hecho ConfusedMind, la validación del usuario y la contraseña de la aplicación de Twitter oficial para Android que viene por defecto en todos los móviles a partir de la 2.0 y en las actualizaciones y que, además, no se puede borrar, utiliza autenticación básica basada en protocolo http codificado con BASE64, vamos, un niño lo puede descifrar. Con lo que si alguien con intención maliciosa está esnifando los datos de una red en la que os conectéis, podría obtener vuestro usuario y contraseña con pasmosa facilidad.

95865661

A ver, no es extremadamente grave (como podría ser obtener el password de una cuenta de gmail) porque aunque os cambien el password, podéis solicitar que os lo envien al correo y si cambian el correo, antes os envían una notificación con opción a revocar, pero aquellos que usáis mismos passwords y nicks en todas partes, lo podéis pasar un poquito mal. En fin, a mi ya no me gustaba y usaba Seesmic pero ahora con más motivo.

Además, en teoría, deberían actualizar la aplicación de twitter ya que tal como indica ConfusedMind en su siguiente post, faltan dos semanas para que twitter ‘apague’ la autenticación básica en al que se basa la aplicación.

Si queréis alternativas, @bubiloop hizo un ranking de las mejores aplicaciones de twitter para Android.

El artículo original de ConfusedMind: Sniffeando aplicacion Twitter para Android. ¡Felicidades! Gran aportación.

Descargar

carthesian

Los matemáticos no sumamos, nos aseguramos que la suma funcione. Trabajo en everis, registré el dominio roid.es y el twitter @androides, escribí el primer post de and.roid.es y cientos después. Últimamente, escribo poco pero intento que el artículo tenga algo de valor.

Website - More Posts

13 Responses to Te pueden robar el password si usas la aplicación oficial de Twitter para Android


  1. Tole16v
    Jul 28, 2010

    pues hoy se actualizaba la aplicacion oficial de twitter!!


  2. carthesian
    Jul 28, 2010

    @tole16v ¿cómo lo sabes? de momento a mi no me sale y no encuentro referencias a esa actualización.


  3. hector
    Jul 28, 2010

    coño, qué chapuza…


  4. iSuriv
    Jul 28, 2010

    Yo he recibido esa actualización esta mañana, me ha extrañado verla como actualización…

    Si lo han solucionado el error muy bien echo.


  5. yursi
    Jul 28, 2010

    No basta solo con escuchar el tráfico, depende la red habrá que realizar un ataque u otro. En el mejor de los casos habría que poner el dispositivo de red en modo promiscuo y encontrarse detrás de un hub o de un punto de acceso móvil (tethering).


  6. rallat
    Jul 29, 2010

    @yursi también puedes compartir la conexión de tu portatil y escanear las trazas con wireshark :-P


  7. Roobre
    Jul 29, 2010

    @yursi @rallat
    Si la autenticación que utiliza es básica, se puede obtener esa contraseña siempre y cuando tengamos acceso a la misma red que el teléfono.
    Es decir, si nos están pillando el WiFi.
    Al usar 3G o si tu red está bien protegida (WPA/WPA2 TKIP, pass alfanumérico) no debería haber peligro alguno.


  8. yursi
    Jul 29, 2010

    Cuando dije punto de acceso móvil no me refería solamente a teléfonos móviles, si no a portátiles y demás dispositivos no destinados a compartir su conexión pero capaces de ello, porque es ahí cuando no se tiene que realizar ningún ataque, sino poner la tarjeta de red en modo promiscuo y recibir todos los paquetes.

    Según el cifrado y el escenario se tendría que utilizar un ataque u otro, entre los más famosos y fáciles de implementar tenemos MITM, ARP CACHE SPOOFING y DNS SPOOFING

    PD: WPA no es seguro


  9. ozx
    Jul 29, 2010

    Buen work de parte de esta persona, nunca se me hubiera imaginado sniffear aplicaciones en el celular, aunque dudaba de algunas y me he imaginado si mandarian informacion de mas, pero bueno, siempre hay algun curioso y pensante que pone en practica esto.
    Gracias a el, y la verdad que yo usaba twitter oficial y deja mucho que desear algo asi..

    Creo que esta explicado de todas formas para gente que sabe que a la hora de sniffear se deben tener que cumplir algunos requisitos, es obvio que habra hecho un arp spoofing o demas cosas, pero el tema es que cualquier con malas intenciones te saca el password en 5 minutos si es q pertenece a la misma red.

    Saludos


  10. Skatox
    Aug 05, 2010

    Yo uso twitdroid con autenticacion con SSL


  11. Dondado
    Aug 23, 2010

    Este fin de semana leía que la aplicación de foursquare, para android y para iphone, enviaban la contraseña en claro sobre http, ni siquiera codificada en BASE64, así que más vale no tener la contraseña que utilizamos en estos servicios compartida con otros sitios. Además, los usuarios de Smartphone tenemos mucha costumbre de ir conectándonos a los WIFIs abiertos que encontramos por el camino lo que hace aún más sencillo que accedan a nuestro tráfico de datos.

Trackbacks/Pingbacks

  1. Bitacoras.com
  2. Tweets that mention Te pueden robar el password si usas la aplicación oficial de Twitter para Android | and.roid.es -- Topsy.com

Leave a Reply




Android is a trademark of Google Inc. Android.es has no relation with Google Inc. or Android
t
Performance Optimization WordPress Plugins by W3 EDGE