Resulta bastante incómodo rellenar largos formularios cada vez que nos registramos en un nuevo servicio, por eso muchos desarrolladores nos permiten utilizar las credenciales que ya tenemos con otras grandes empresas de Internet. Pues bien, ahora tenemos que recomendar cuidado si inicias sesión usando Facebook o Google en las apps, pues podrían robar tu cuenta en esa app. Lo peor es que se trata de un problema complejo de resolver.
El sistema que permite conectarse con una cuenta de Facebook o Google a una app es SSO (single sign-on), que se basa en el estándar OAuth 2.0. Este sistema es seguro, o al menos no se ha encontrado ninguna vulnerabilidad por el momento. Pero resulta bastante complicado de implementar, y muchos desarrolladores de apps, sin mucha experiencia, lo hacen de manera incorrecta.
Cuidado con la nueva estafa nigeriana
El resultado es que un atacante podría usar este fallo para entrar en una cuenta de la app si ha sido creada por Facebook o Google. Por ejemplo, si empleamos una app para almacenar archivos, los podría robar. Si se trata de una app de reservas de hotel, podría solicitar una habitación. Si en la app tenemos datos personales, se podría acceder a ellos. Las posibilidades son numerosas, y muy peligrosas.
En un momento en el que los virus se cuelan hasta en programas fiables como Spotify, ahora surge una muy mala noticia. Los descubridores de este problema calculan que puede haber más de 1.000 millones de cuentas de apps en riesgo. En principio, han detectado que el problema ocurre en Android, pero estiman que en iOS también existiría, pues la implementación de OAuth 2.0 sería similar.
Una buena idea sería crearnos cuentas en las apps usando nuestra dirección de correo electrónico en lugar del inicio de sesión en Google o Facebook. Pero la amenaza es seria, ya que la solución no pasa por corregir un fragmento concreto de código, sino que deben ser los desarrolladores de apps los que utilicen de forma correcta este sistema de identificación.
Lo cierto es que los ciberdelincuentes cada vez se vuelven más ingeniosos, como con la técnica de dejar pendrives en los buzones, así que debemos ser cuidadosos. Este fallo con los inicios de sesión en Facebook o Google que permite robar cuentas de las apps representa una nueva prueba de que, en seguridad informática, los riesgos siempre están al acecho.
¿Qué opinas de esta amenaza? ¿Sueles iniciar sesión en las apps utilizando tu cuenta de Google o Facebook?
Vía: The Hacker News
Cuidado con la nueva estafa nigeriana
- Ver Comentarios