Gmail y su comprobación vía móvil: vulnerabilidades

Hace tiempo que comentamos en este rincón de seguridad y hacking de Somos Binarios, que los procedimientos de comprobación de contraseñas y credenciales a través de teléfono móvil (tan de moda entre Google, Yahoo, Microsoft y demás) no son nada seguros e, incluso, añaden una capa más de vulnerabilidad para nuestras comunicaciones e información personal.

No hemos sido los únicos en clamar contra estas medidas pretendidamente seguras. Son muchas las publicaciones especializadas que advierten que cuantos más pasos y dispositivos intervengan en autentificaciones o confirmaciones de contraseñas, más potenciales agujeros de seguridad tendremos que vigilar en relación a nuestra vida digital.

La proliferación de aplicaciones residentes como las de servicios en la nube tipo Dropbox, Mega, Google Drive o la más reciente Amazon Drive, no ayudan en absoluto.

¿Qué ocurre si perdemos nuestro terminal y, por economía, tenemos activadas las credenciales o el acceso automático a nuestros servicios en la nube desde el teléfono?… Pues que quien encuentre el dispositivo y vulnere el PIN, tiene abiertas las puertas no sólo a nuestro móvil (ya nadie roba estas máquinas para hacer llamadas), sino también a nuestras cuentas de email, archivos almacenados en la nube, imágenes, documentos y demás.

Que todo pase por el teléfono hoy en día, lejos de aumentar la seguridad de los sistemas, la compromete.

Pero vayamos a un caso en concreto que esta misma semana hemos podido comprobar y que afecta a las cuentas de Gmail que se vinculan a nuestros terminales Android y que sirven de acceso no sólo a nuestro correo electrónico configurado como cuenta “llave”, sino a multitud de servicios de recuperación de otras contraseñas y servicios.

Gmail y las cuentas de usuario

Como sabemos, cada terminal Android debe llevar vinculada una cuenta de Google (en este caso basada en una dirección de email de Gmail) para poder operar en la Red.

Desde el instante de la configuración inicial de nuestro terminal, el móvil queda sujeto a dicha cuenta para poder acceder a la descarga de aplicaciones en la Play Store, acceder y descargar correos electrónicos en el dispositivo, o llevar a cabo las actualizaciones del sistema. Eso, por no hablar de los múltiples servicios que cualquiera de nosotros vincula a una cuenta de email: Redes sociales, cuentas de almacenamiento en la nube, etc…

El problema surge cuando este sistema de verificación no está bien concebido, o por favorecer la facilidad y economía de uso para el cliente, la propia Google hace que el hackeo (voluntario o no) de este método de verificación sea sencillo. Peligrosamente sencillo.

Baste el caso práctico con que nos hemos encontrado y que resumimos a continuación.

• El usuario (nosotros) viene usando un teléfono móvil desde hace tiempo. Lo tiene vinculado a una cuenta de Gmail como anteriormente hemos mencionado, y con ella, tiene acceso a su cuenta de correo, redes sociales, autorrellenado de formularios (claves de acceso en páginas web de común uso) y almacenamiento de sus archivos en la nube.

• El usuario (nosotros) procede a querer desprenderse de su terminal para comprar otro. Así que opta por ponerlo a la venta en internet (Ebay, Wallapop y derivados…). Asegurándose, incluso, de que ha eliminado todo rastro de archivos en la memoria del terminal e incluso de la Micro SD que venía utilizando a modo de disco duro.

• En el paradigma de la seguridad, el confiado usuario que sabe algo de informática pero no es un experto, llega incluso a eliminar las cuentas de Gmail vinculadas a su terminal móvil antes de venderlo.

En teoría, y en el caso que hemos descrito, el móvil no debería presentar agujeros de seguridad de ninguna clase al respecto de nuestras comunicaciones, información personal o acceso a servicios en la nube, reiteramos, porque el teléfono ha sido desvinculado y toda cuenta de acceso, eliminada. Opción que fácilmente nos da Google, desde el apartado “Opciones de Seguridad” y “Cuentas de usuario” de nuestro dispositivo.

Pero la realidad no es esa.

Un sencillo método de robo de credenciales (o cuanto menos, de entorpecimiento de acceso al legítimo propietario de las mismas) es que el que compra el terminal que anteriormente ha tenido otro usuario, o el que se lo encuentra y vulnera el código PIN (cosa fácil de hacer hoy en día desde root, como sabéis), siempre que conozca simplemente nuestra dirección de email (sólo la dirección) puede proceder del siguiente modo:

• Desde una conexión a Internet en otro dispositivo o terminal, procede a intentar un acceso ilegítimo a la cuenta de email del usuario real. Lógicamente se va a llevar a un “no” por respuesta del sistema, dado que desconocemos la contraseña.

• Pero automáticamente el dispositivo que nos hemos encontrado o que hemos comprado de segunda mano nos informará (de hecho, el dispositivo creerá estar informando a su legítimo dueño) de que se está produciendo un acceso no autorizado a su cuenta de Gmail y servicios vinculados a la misma.

• Desde ese mismo mensaje de alerta (que acaba de recibir, justo, quien está llevando a cabo el intento de intrusión) se puede acceder a la configuración de la cuenta de usuario que anteriormente tenía el móvil y que actualmente tiene el legítimo propietario de la misma.

• Y, desde ahí, la imaginación al poder…

Desde el inofensivo juego de estar informado o saber cuándo se conecta el anterior usuario del teléfono a su cuenta de email (mediante la configuración de alertas en el dispositivo comprado de segunda mano, encontrado o robado), hasta el intento de acceso o cambio de credenciales del legítimo usuario.

Esto ocurre porque eliminar nuestras credenciales o perfil de usuario y acceso en el móvil NO ES SUFICIENTE PARA DESVINCULAR EL TERMINAL DE LOS SERVICIOS ANTERIORMENTE VINCULADOS. En Gmail, dicho terminal (móvil o tablet) sigue vinculado a nuestra cuenta.

Lógicamente NO VAMOS A ENTRAR EN MÉTODOS DE VULNERABILIDAD POR ESTE SISTEMA, porque no es nuestra labor ni la naturaleza de nuestros artículos, que sólo pretenden informar de vulnerabilidades, no de potenciar el modo de explotarlas. Pero queríamos dejar claro que este sistema de comprobación vía móvil NO es seguro en absoluto e incluso facilita potenciales ataques.

Forma de evitar estas vulnerabilidades

El modo básico de proceder para protegernos de estos agujeros de seguridad o debilidades estructurales en dichos sistemas de autentificación vía móvil es asegurarnos, siempre que vayamos a desprendernos de un viejo móvil bien vendiéndolo y olvidándolo en un cajón para posteriores usos, de que no sólo eliminamos los accesos y las cuentas vinculadas en el terminal, sino de que accedemos a nuestra cuenta de Gmail vía internet (no desde el dispositivo) para denegar los permisos a dicho dispositivo en adelante.

Porque mientras en Google (Gmail) ese terminal siga estando vinculado a una determinada cuenta de usuario, aunque eliminemos el perfil en el teléfono, en la plataforma seguirá constando como que es un dispositivo nuestro que podemos seguir utilizando en el futuro para conectarnos a nuestros servicios online y en la nube, de modo que Gmail y Android seguirán compartiendo información o, cuando menos, enviando notificaciones y movimientos a dicho dispositivo como si continuase en nuestro legítimo poder.

Como siempre, sentido común, y no sólo identificación en 2 pasos (como obstinadamente se le viene llamando). También es necesaria la eliminación en 2 pasos de todas nuestras cuentas vinculadas: Una vez en el teléfono móvil que vamos a dejar de usar y otra vez, en paralelo, en la plataforma o servicio a la que ese dispositivo ha estado vinculada a través de una cuenta de usuario.

Saludos.