Un grupo de investigadores de la Universidad de Hannover ha estudiado diversas aplicaciones que se encargan de ofrecer una gestión de contraseñas en smartphones basados en Android, y en todos los casos se demostró la inseguridad de los métodos de gestión de contraseñas.
En las pruebas con 13 gestores de contraseñas gratuitos y 8 propietarios en un Galaxy Nexus basado en Android 4.0 quedó claro que la falta de una API segura que transfiera contraseñas entre aplicaciones hace que sea muy complicado escribir una aplicación realmente segura en este segmento. Los investigadores detectaron que las reglas de los gestores de contraseñas en smartphones son distintas a las presentes en los PCs y portátiles, ya que en Android estas aplicaciones no pueden conectarse directamente al navegador o las aplicaciones.
Cuidado con el portapapeles
Android no proporciona una API para integrar gestores de contraseñas en navegadores o aplicaciones y los desarrolladores tienen que resolver el problema con un método inseguro: utilizan el portapapeles (clipboard) del sistema operativo para ofrecer esas credenciales.
Los usuarios también usan ese portapapeles para copiar las credenciales de inicio de sesión desde los gestores de contraseñas y luego pegarlas en las aplicaciones y el navegador. Esto representa un problema, ya que el portapapeles es un recurso global al que se puede acceder sin permisos específicos. De hecho hay un servicio de notificación que permite que las aplicaciones tengan conciencia de cambios en el portapapeles a través de la llamada android.content.ClipboardManager.OnPrimaryClipChangedListener.
Esta circunstancia puede ser aprovechada por malware que esté "a la escucha" de lo que ocurre en el portapapeles. Los investigadores escribieron un programa de prueba llamado PWSniff que precisamente implementó dicha funcionalidad con éxito.
Comodidad por encima de seguridad
El grupo de investigadores se puso en contacto con todos los desarrolladores de esas aplicaciones de gestión de contraseñas para comentarles sus conclusiones, y en todos los casos excepto en uno dejaron claro que preferían que estas aplicaciones fueran amigables para el usuario en lugar de proporcionar mecanismos realmente seguros. Todos criticaron la falta de soporte de esta función en la API de Android.
Aún así, explicaba uno de ellos, esa seguridad que ofrecía su aplicación era mayor que la que proporcionaba la creciente reutilización de contraseñas nativa de Android que probablemente se da en ausencia de un gestor de contraseñas.
Los investigadores confirmaron las propias conclusiones de los fabricantes y destacaron que los gestores de contraseñas se usan por dos motivos. Uno, que los usuarios quieren tratar de controlar el gran número de credenciales de acceso para mejorar la seguridad. Y dos, que los usuarios querían aplicaciones no controladas por Google por la supuesta amenaza a su privacidad y por la preocupación de que el cifrado utilizado por el navegador nativo de Android es inseguro.
Más información | Estudio en PDF Vía | The H Open
Ver 15 comentarios