Te pueden robar el password si usas la aplicación oficial de Twitter para Android

Según las pruebas que ha hecho ConfusedMind, la validación del usuario y la contraseña de la aplicación de Twitter oficial para Android que viene por defecto en todos los móviles a partir de la 2.0 y en las actualizaciones y que, además, no se puede borrar, utiliza autenticación básica basada en protocolo http codificado con BASE64, vamos, un niño lo puede descifrar. Con lo que si alguien con intención maliciosa está esnifando los datos de una red en la que os conectéis, podría obtener vuestro usuario y contraseña con pasmosa facilidad.

95865661

A ver, no es extremadamente grave (como podría ser obtener el password de una cuenta de gmail) porque aunque os cambien el password, podéis solicitar que os lo envien al correo y si cambian el correo, antes os envían una notificación con opción a revocar, pero aquellos que usáis mismos passwords y nicks en todas partes, lo podéis pasar un poquito mal. En fin, a mi ya no me gustaba y usaba Seesmic pero ahora con más motivo.

Además, en teoría, deberían actualizar la aplicación de twitter ya que tal como indica ConfusedMind en su siguiente post, faltan dos semanas para que twitter ‘apague’ la autenticación básica en al que se basa la aplicación.

Si queréis alternativas, @bubiloop hizo un ranking de las mejores aplicaciones de twitter para Android.

El artículo original de ConfusedMind: Sniffeando aplicacion Twitter para Android. ¡Felicidades! Gran aportación.

13 comentarios sobre “Te pueden robar el password si usas la aplicación oficial de Twitter para Android

  1. Pingback: Bitacoras.com
  2. No basta solo con escuchar el tráfico, depende la red habrá que realizar un ataque u otro. En el mejor de los casos habría que poner el dispositivo de red en modo promiscuo y encontrarse detrás de un hub o de un punto de acceso móvil (tethering).

    Me gusta

  3. @yursi @rallat
    Si la autenticación que utiliza es básica, se puede obtener esa contraseña siempre y cuando tengamos acceso a la misma red que el teléfono.
    Es decir, si nos están pillando el WiFi.
    Al usar 3G o si tu red está bien protegida (WPA/WPA2 TKIP, pass alfanumérico) no debería haber peligro alguno.

    Me gusta

  4. Cuando dije punto de acceso móvil no me refería solamente a teléfonos móviles, si no a portátiles y demás dispositivos no destinados a compartir su conexión pero capaces de ello, porque es ahí cuando no se tiene que realizar ningún ataque, sino poner la tarjeta de red en modo promiscuo y recibir todos los paquetes.

    Según el cifrado y el escenario se tendría que utilizar un ataque u otro, entre los más famosos y fáciles de implementar tenemos MITM, ARP CACHE SPOOFING y DNS SPOOFING

    PD: WPA no es seguro

    Me gusta

  5. Buen work de parte de esta persona, nunca se me hubiera imaginado sniffear aplicaciones en el celular, aunque dudaba de algunas y me he imaginado si mandarian informacion de mas, pero bueno, siempre hay algun curioso y pensante que pone en practica esto.
    Gracias a el, y la verdad que yo usaba twitter oficial y deja mucho que desear algo asi..

    Creo que esta explicado de todas formas para gente que sabe que a la hora de sniffear se deben tener que cumplir algunos requisitos, es obvio que habra hecho un arp spoofing o demas cosas, pero el tema es que cualquier con malas intenciones te saca el password en 5 minutos si es q pertenece a la misma red.

    Saludos

    Me gusta

  6. Este fin de semana leía que la aplicación de foursquare, para android y para iphone, enviaban la contraseña en claro sobre http, ni siquiera codificada en BASE64, así que más vale no tener la contraseña que utilizamos en estos servicios compartida con otros sitios. Además, los usuarios de Smartphone tenemos mucha costumbre de ir conectándonos a los WIFIs abiertos que encontramos por el camino lo que hace aún más sencillo que accedan a nuestro tráfico de datos.

    Me gusta

Responder a hector Cancelar respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s