Grave vulnerabilidad en Gmail permite robar datos desde cualquier sistema operativo móvil

gmail

Una vulnerabilidad de Google ha sido utilizada por un equipo de investigadores para demostrar que es posible acceder a los datos de Gmail con malware integrado en aplicaciones móviles.

Investigadores de seguridad informática de la University of California Riverside Bourns College of Engineering y la University of Michigan, han presentado en el USENIX Security Symposium de San Diego una grave vulnerabilidad de Gmail y la forma en que Google gestiona el cifrado de datos en las comunicaciones en dispositivos móviles.

La idea es que se puede acceder a Gmail tanto en Android como en iOS y Windows Phone a través de aplicaciones terceras usando un fallo de la aplicación oficial de Google, que permite ver y modificar las comunicaciones con el servidor de Google a través de la memoria compartida de un proceso, que no requiere permisos ni privilegios especiales.

Monitorizando los cambios en la memoria compartida, que hasta ahora se creía segura y que no permitía que las aplicaciones pudieran interferir entre sí, se pueden registrar acciones que, con la suficiente información, permitirían sustraer datos sin que el usuario lo sepa. De hecho con Gmail han comprobado que han podido conseguir los datos entre el 82 y 92% de las veces con éxito.

Pero además, tras descubrirlo en Gmail, sería posible usar el mismo sistema con otras aplicaciones, algo que ya han conseguido con varias de ellas, aunque con menor éxito. La más “segura” por ahora ha sido Amazon, con un 48% de eficacia. Los investigadores esperan que la publicación de la vulnerabilidad permita mejorar la seguridad de Android y otros sistemas operativos móviles.