Investigadores encuentra la manera de hackear Gmail

Fallo seguridad apps

Investigadores de la Facultad de Ingeniería de Michigan y de laUniversidad de california han identificado una debilidad en los sistemas operativos para móviles Android, Windows Phone e iOS, que permitiría a app de carácter malicioso obtener información de las cuentas de Gmail de usuarios desprevenidos. A pesar de haber sido probado sólo en el sistema operativo del robot, los expertos tienen motivos para creer que la debilidad también existe en los tres sistemas operativos: todas las apps pueden acceder a la memoria compartida de los dispositivos. 

"Siempre hemos asumido que estas apps no pueden interferir entre ellas fácilmente", declaraba Zhiun Quian, un profesor asociado de la Universidad de California. "Hemos descubierto que esta teoría no es correcta, y que una aplicación pude, de hecho, impactar significativamente en otra con consecuencias dañinas para el usuario".

Este debilidad se parece mucho al mayor fallo de seguridad de nuestra época: el Heartbleed 

El método de espionaje sería así: primero, un usuario se descarga una app con aspecto benigno, como unos fondos de pantalla, pero que en realidad contiene código malicioso. Una vez instalada, los investigadores pueden utilizar el acceso a las estadísticas de la memoria de cualquier proceso, sin tener que solicitar privilegios especiales. 

Durante el proceso, los especialistas han monitorizado los cambios en esta "memoria compartida", y han sido capaces de encontrar diferencias que se correlacionan con otras actividades, como iniciar sesión en Gmail o hacer una fotografía a un cheque para despositarlo a través de la app Chase Bank. 

El índice de éxito de este proceso de hackeo es del 82 al 92%. Utilizando este y otros sencillos trucos, el equipo de investigación ha sido capaz de monitorizar la actividad del desprevenido usuario en tiempo real. 

De las apps probadas, Amazon ha sido la más difícil de hackear, consiguiendo sólo un 48% de éxito en sus intentos. Esto se debe a que la aplicación permite realizar sólo una ctividad a la vez, dificultando así al supuesto hacker el acceso a procesos laterales.