Aunque la seguridad deber√≠a ser un mantra obligatorio para cualquier desarrollador, sigue habiendo aplicaciones que ponen en peligro las contrase√Īas de los usuarios debido a una mala implementaci√≥n de HTTPS. La lista de aplicaciones con este problema en Android es cada vez m√°s larga.

Hace unos meses, investigadores del City College de San Francisco descubr√≠an que muchas aplicaciones Android no implementan bien el popular protocolo de transferencia segura de datos HTTP Secure o HTTPS. A resultas de ese fallo, cualquier hacker con un poco de ma√Īa puede acceder al nombre de usuario y la contrase√Īa que estamos utilizando para esa aplicaci√≥n concreta. Basta conectarse a la misma red WiFi.

Advertisement

A la lista de software de Android revelada por el equipo de San Francisco se unen ahora más de 100 aplicaciones nuevas con el mismo problema. Entre ellas hay aplicaciones como la de Pizza Hut, la de la Asociación Nacional de Baloncesto estadounidense, o la popular aplicación de contactos de Match.com. Este vídeo muestra cómo funciona la vulnerabilidad.

El descubridor del fallo es Rui Wang. Wang es el CEO de Appbugs, una aplicaci√≥n gratuita que sirve precisamente para descubrir vulnerabilidades HTTPS en aplicaciones Android. La peor parte es que, seg√ļn el propio Wang ha explicado a Ars Technica, muchos de los desarrolladores con los que se ha puesto en contacto para informarles del fallo todav√≠a no han hecho nada para solucionarlo, y han pasado varios meses.

Advertisement

Solo las contrase√Īas que se usan en la aplicaci√≥n vulnerable est√°n en peligro, pero muchos usuarios tienden a poner la misma contrase√Īa en todos. Teniendo en cuenta que el nombre de usuario suele ser la direcci√≥n de mail principal, un fallo como este puede tener consecuencias graves a poco que el hacker investigue un poco. [Appbugs v√≠a Ars Technica]

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)