Aunque la seguridad debería ser un mantra obligatorio para cualquier desarrollador, sigue habiendo aplicaciones que ponen en peligro las contraseñas de los usuarios debido a una mala implementación de HTTPS. La lista de aplicaciones con este problema en Android es cada vez más larga.
Hace unos meses, investigadores del City College de San Francisco descubrían que muchas aplicaciones Android no implementan bien el popular protocolo de transferencia segura de datos HTTP Secure o HTTPS. A resultas de ese fallo, cualquier hacker con un poco de maña puede acceder al nombre de usuario y la contraseña que estamos utilizando para esa aplicación concreta. Basta conectarse a la misma red WiFi.
A la lista de software de Android revelada por el equipo de San Francisco se unen ahora más de 100 aplicaciones nuevas con el mismo problema. Entre ellas hay aplicaciones como la de Pizza Hut, la de la Asociación Nacional de Baloncesto estadounidense, o la popular aplicación de contactos de Match.com. Este vídeo muestra cómo funciona la vulnerabilidad.
[youtube http://www.youtube.com/watch?v=OIq6nJd8FAU]
El descubridor del fallo es Rui Wang. Wang es el CEO de Appbugs, una aplicación gratuita que sirve precisamente para descubrir vulnerabilidades HTTPS en aplicaciones Android. La peor parte es que, según el propio Wang ha explicado a Ars Technica, muchos de los desarrolladores con los que se ha puesto en contacto para informarles del fallo todavía no han hecho nada para solucionarlo, y han pasado varios meses.
Solo las contraseñas que se usan en la aplicación vulnerable están en peligro, pero muchos usuarios tienden a poner la misma contraseña en todos. Teniendo en cuenta que el nombre de usuario suele ser la dirección de mail principal, un fallo como este puede tener consecuencias graves a poco que el hacker investigue un poco.