Aunque la seguridad deber├şa ser un mantra obligatorio para cualquier desarrollador, sigue habiendo aplicaciones que ponen en peligro las contrase├▒as de los usuarios debido a una mala implementaci├│n de HTTPS. La lista de aplicaciones con este problema en Android es cada vez m├ís larga.

Hace unos meses, investigadores del City College de San Francisco descubr├şan que muchas aplicaciones Android no implementan bien el popular protocolo de transferencia segura de datos HTTP Secure o HTTPS. A resultas de ese fallo, cualquier hacker con un poco de ma├▒a puede acceder al nombre de usuario y la contrase├▒a que estamos utilizando para esa aplicaci├│n concreta. Basta conectarse a la misma red WiFi.

Advertisement

A la lista de software de Android revelada por el equipo de San Francisco se unen ahora m├ís de 100 aplicaciones nuevas con el mismo problema. Entre ellas hay aplicaciones como la de Pizza Hut, la de la Asociaci├│n Nacional de Baloncesto estadounidense, o la popular aplicaci├│n de contactos de Match.com. Este v├şdeo muestra c├│mo funciona la vulnerabilidad.

El descubridor del fallo es Rui Wang. Wang es el CEO de Appbugs, una aplicaci├│n gratuita que sirve precisamente para descubrir vulnerabilidades HTTPS en aplicaciones Android. La peor parte es que, seg├║n el propio Wang ha explicado a Ars Technica, muchos de los desarrolladores con los que se ha puesto en contacto para informarles del fallo todav├şa no han hecho nada para solucionarlo, y han pasado varios meses.

Advertisement

Solo las contrase├▒as que se usan en la aplicaci├│n vulnerable est├ín en peligro, pero muchos usuarios tienden a poner la misma contrase├▒a en todos. Teniendo en cuenta que el nombre de usuario suele ser la direcci├│n de mail principal, un fallo como este puede tener consecuencias graves a poco que el hacker investigue un poco. [Appbugs v├şa Ars Technica]

***

Psst! tambi├ęn puedes seguirnos en Twitter, Facebook o Google+ :)