martes, 23 de diciembre de 2014

( Cuidado ) Navegadores de Android que no debes usar



Todos usamos nuestro Android para navegar, y aunque Chrome es el navegador que viene instalado por defecto en muchos Android y es uno de los mejores, hay usuarios que prefieren usar otras alternativas, que en ocasiones no son del todo seguras como dicen ser.

El viernes pasado se publicó un aviso de seguridad relativo a una herramienta llamada AppsGeyser que permite crear aplicaciones a partir de aplicaciones web. La idea es bastante sencilla, automatizar un sistema de flujo a través de las famosas Web Views que se usan tanto en apps para iOS como para Android. El hacer navegar por la web un usuario dentro de una aplicación móvil usando estas WebViews puede tener riesgos, ya que en ellas es necesario aplicar todas las medidas de seguridad que un WebBrowser de verdad tiene, y muchas veces hemos visto que no es así. En casos como el ejemplo del robo de cuentas de Apple ID aprovechábamos las Web Views de Gmail para iOS para ocultar la URL donde estaba publicado el servidor de phishing.

La vulnerabilidad que presenta AppsGeyser es que por defecto, en el componete de la Web View que usa para navegar se ha desactivado la alerta de certificados inválidos. Es decir, que si alguien se conecta a la web de https://www.facebook.com y el certificado que se le entrega no está firmado por una entidad de confianza, no pertenece a www.facebook.com, ha caducado o ha sido revocado, el usuario no verá ninguna alerta de seguridad. Esto, abre la puerta a los ataques de SSL Sniff, o lo que es lo mismo, a poder utilizar certificados falsos en esquemas de man in the middle para poder descifrar todas las conexiones. 

una lista de los navegadores web que no debes instalar si no quieres ser vulnerable.