martes, noviembre 20, 2012

El Single Sign-on y las apps de los smartphones: miedo++

A través de jmalvpal llegué a un artículo de Wired titulado "Kill the Password: Why a String of Characters Can’t Protect Us Anymore", escrito por Mat Honan, el periodista que este verano sufrió un hackeo completo de su vida personal al robarle su cuenta de correo usada como piedra de clave a través de un ataque de ingeniería social primero a su cuenta de Apple iCloud. Para conseguir esta cuenta sólo tuvo que convencer al iGenius de que él era Mat Honan, y lo hizo utilizando como verificación los últimos dígitos de su tarjeta de crédito, algo que en la cuenta de Amazon era público según respondió Apple. Un fallo coordinado entre Apple y Amazon que acabó con sus cuentas.

Yo soy muy paranóico con los sitios donde introducir mis contraseñas por este tipo de cosas que veo casi a diario, pero últimamente me siento especialmente sensible con las apps en las que te autenticas con cuentas de Twitter, Facebook o lo que es peor, para leer - por ejemplo - los feeds de los RSS a los que estoy suscrito, para lo que tengo que poner mi contraseña de Google Reader.

Figura 1: En el App Store hay 153 apps para iPhone que quieren tu password de Google Reader

El tener que poner esa password me da mucho coraje, ya que no es la password de Google Reader, es la password de mi cuenta Google, que da acceso a muchas más cosas, y resulta que a la persona que haya desarrollado esa app le estoy dando la confianza total de tener mi password de mi cuenta Google, y no me mola ni un poquito.

Está muy bien esto del Single Sign-on, pero en cualquier sistema debería poder seleccionarse una contraseña para un único servicio. Es decir, tener mi cuenta y mi password que diera acceso a todo - como ahora - pero tener también la posibilidad de crear un contraseña derivadas que permitiera acceso sólo a servicios específicos de lo que yo quisiera para ponerla en las apps de los smartphones.

Por ahora, he usado Google TakeOut para exportar la lista de subscripciones RSS que tengo y me he creado una cuenta solo para Google Reader donde he importado esta lista. Esta es la cuenta que uso en desde hace unos días en mi lector de Google Reader que llevo en el smartphone, pero exige hacer una nueva cuenta para cada servicio aislado de apps que utilizo en mis smartphones.

Figura 2: Exportando tu cuenta de Google Reader con Google Takeout

Actualización: Google tiene un servicio que permite gestionar contraseñas específicas para apps que desconocía (gracias por la info!) , así que yo voy a usarlo desde ya para evitar estos problemas y aquí tienes un vídeo de cómo funciona.

Figura 3: Passwords específicas para apps en Google

De esta forma podría limitar el riesgo de que una mala app que robara mis datos como Strom8, o Find & Call que el volumen de aplicaciones maliciosas en las tiendas no para de crecer y viendo que a Apple se le cuelan aplicaciones NFC para iPhone 5 cuando en iPhone 5 no hay NFC y que a Google Play se le cuentan apps como iWorks para Android no hay quien se fie con comodidad de sus verificaciones. Luego tu UDID acaba en un Pastebin y te hacen un troyano como FinSpy a medida para tu iPhone... y la lías.

Por supuesto, si pierdes el terminal y alguien lo apaga y lo enciende en una cámara Faraday para que no se pueda conectar a Internet de ninguna manera antes de que elimines los datos robados, un análisis forense del teléfono sacará hasta las tripas de lo que tengas allí que nosotros lo hemos probado con iOS6 y da miedo lo fácil que es y lo que sale, por mucho que haya quien diga que el cifrado es irrompible.

Saludos Malignos!

10 comentarios:

Anonimo dijo...

Para eso Google tiene una solución que yo uso personalmente. Se llama "Contraseñas específicas de aplicaciones" y se accede mediante los ajustes de seguridad de tu cuenta de Google https://accounts.google.com/b/0/IssuedAuthSubTokens?hl=es

Lo uso en conjunto con la autenticación en dos pasos y me quito ese miedo que comentas...

Cernícalo dijo...
Este comentario ha sido eliminado por el autor.
Alberto J. Sánchez Sanz dijo...

Venía a comentar lo que ya ha comentado Anonimo :)

Maligno dijo...

Actualizado, gracias!

Ivan de la Jara dijo...

Que le den a ese lector, si te pide tu contraseña directa y no usa el link de google para usar outh es que o el programador es un inutil o lo que quiere es hacer algo ilegal con tu cuenta...

Anónimo dijo...

No se si has llegado a ver como funciona la verificación en dos pasos, pero es muuuy interesante lo de autorizar junto a un mensaje sms, llamada o la aplicación android

Combinado con la autorización de aplicaciones, te permite denegar la autorización a través de la aplicación android si te roban el telefono.

Luis Romero dijo...

Hola,

corregidme si me equivoco, pero creo que las contraseñas específicas de aplicación sirven para cualquier acceso de clientes RSS, IMAP y no se si otros, por lo que con la contraseña generada para un reader, se podría leer el correo por imap.

Esa contraseña no sirve para iniciar sesión en la web, ahí entra la autentificación en dos pasos, pero para acceder al correo imap me temo que si.

Está claro que es un buen sistema, pero sería perfecto si permitiese limitar el tipo de servicios al que cada contraseña tiene acceso.

Anónimo dijo...

Esto lo llevo pensando bastante tiempo, por eso no uso aplicaciones que no sean las oficiales. No es la seguridad absoluta, pero como bien decis a saber que hace el autor de esa aplicacion tan molona con mis passwords...

KoLo dijo...

Imagino que a los single-sign-on ed MS le pasara lo mismo ¿no?...

elPerroVerde dijo...

[offtopic]

http://alt1040.com/2012/11/whonix-so-anonimo

Habeis visto esto. Parece interesante.

Entradas populares