Google Chrome y Android: Una pareja peligrosa e insegura

por:

Todo comenzó con un regalo de Reyes Magos, una tablet. Ha sido genial, porque además del regalo, he podido constatar una deficiencia o agujero en el navegador Google Chrome y el sistema operativo Android, que merece la pena ser publicada para que se conozca y, sobre todo, los usuarios puedan tomar medidas, porque el agujero es grande y deja tu información y acceso a cuentas de email y demás servicios online, totalmente abiertos a terceros.

Como he dicho, mi flamante tablet nueva viene cargada con el sistema operativo Android, concretamente la versión 4.4.2. El caso es que cuando se estrena uno de estos dispositivos, los buenos de Google (que son los encargados del desarrollo de Android y del navegador Chrome) te “ayudan” a configurar la tablet o el Chrome PC, y te piden unos minutitos de tu tiempo para que dejes activado tu cuenta de Google, o en su defecto, que te crees una.  Esto, en sí mismo, es práctico, dado que teniendo una cuenta de referencia en Google, tienes acceso a tus correos electrónicos, sesiones favoritas en Youtube, todos los datos y archivos que tengas en Google Drive y demás. Así se nos vende, y así nos lo comemos.

Android y Chrome los productos de Google

Lo cierto es que también es posible que, con tal de empezar cuanto antes a estrenar tu flamante tableta, teléfono móvil nuevo o portátil Chrome recién regalado, introduces tu cuenta de correo de Gmail y, con ello, todo es rápido y suave. En teoría (y en la práctica) todo se sincroniza y un maravilloso universo de comodidad se abre ante tus ojos.

Compatibilidad total de los productos de Google: Agujero de seguridad

El caso es que los de Google hacen muy bien su trabajo. Quizá, incluso, demasiado bien. Como de ellos es Android, y también de ellos Gmail, Drive, Youtube y el navegador Chrome, todo quedará inmediatamente coordinado entre sí para que tu experiencia de uso y el acceso a tus archivos, correo e información, estén siempre a un clik de distancia para ti.

El problema es que tanta sincronicidad es NOCIVA para tu seguridad y la de tu información o datos.

Veamos el caso en concreto que me llevó a que saltasen las alarmas y que es lo que ha dado lugar a este post.

El agujero de seguridad analizado

El coladero de seguridad me saltó cuando mi tableta “importó” todo mi comportamiento, historial, tendencias de navegación etc… vinculadas a mi cuenta de Gmail. Hasta ahí todo bien, pero me alarmé cuando fui a acceder a otro servicio de correo web (webmail) que nada tenía que ver con Gmail ni ningún otro producto Google y… tachán!!! A para que yo sólo aceptara. Es decir, Google había importado de mi historial de navegación en otros dispotivos (sin Android por cierto) no sólo el historial sino también mis contraseñas y en modo “autocompletar” lo que, literalmente, dejaba toda mi información personal, correos profesionales no vinculados a Gmail y demás contenidos privados, al alcance de cualquiera a quien yo le hubiera prestado mi tablet, o que me la sustraiga.

Android con un virus o agujero de seguridad

Así las cosas, quise hacer la comprobación de si en mi tablet, este agujero de seguridad por sincronización de cuentas y autocompletado de historial de contraseñas, sólo afectaba al navegador Chrome o se extendía a otros navegadores en el dispositivo y descubrí que no, que la anomalía sólo afecta a los productos de Google, porque un tercer navegador que no era Chrome, no registraba, ni autocompletaba por defecto mis contraseñas en nuevas sesiones.

Recapitulemos

Estamos hablando de que el sistema operativo Android, con su vinculación a una cuenta de Gmail y empleando el navegador Chrome (todo de Google) se encarga de que el nuevo dispositivo que acabas de activar y vincular a dicha cuenta, acceda no sólo a servicios de estos productos de Google, sino a terceras webs y plataformas dejando tus nombres de usuario y contraseñas al descubierto. Tanto para ti, como para cualquiera que tenga acceso, permitido o no, a tu nuevo juguete.

De forma que, algunas conclusiones como de costumbre:

  1. Cuidado con las vinculaciones de productos, basados en una determinada cuenta de acceso.
  2. Google, con su masiva exposición de productos en Android, es un enjambre de comodidades y agujeros de seguridad para el usuario. Mucho cuidado con los comportamientos por defecto del sistema.
  3. Sentido común siempre para podernos beneficiar de los atajos que todos estos servicios nos permiten haciendo nuestra vida más cómoda, pero desprotegiendo información o brindando acceso a terceros, aunque creamos que el resto de plataformas y servicios online nuestros quedan fuera del ámbito de Chrome y Google.

Saludos.

Alquimista

The following two tabs change content below.

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.

7 Responses to “Google Chrome y Android: Una pareja peligrosa e insegura”

  1. erknrio

    Nada nuevo bajo el sol alquimista. Ese es un motivo por el que no tengo iniciada sesión en Chrome móvil. También es un motivo por el que aparecieron las cuentas de usuario y otro motivo por lo que existen apps que bloquean el uso al dispositivo salvo la app que se elija…

    Responder
  2. Bosco

    Y eso es un agujero de seguridad?? Eres tú el que accede a permitir que se sincronice todo. No te lo pone automáticamente y por arte de magia

    Responder
    • Alquimista

      Negativo
      Sincronizar los productos de Google es una cosa a la que el usuario accede y entiende (y acepta) que estos productos de un mismo fabricante coordine todos sus productos vinculados a esa cuenta.
      Eso es una cosa y otra muy distinta es que también se implemente y queden desprotegidas contraseñas de otras plataformas que nada tienen que ver ni con ese fabricante (en este caso Google) ni con la cuenta asociada que se ha sincornizado, (en este caso Gmail).
      Si tú vas a un cerrajero y pides que las puertas de tus tres viviendas se puedan abrir con una única llave maestra, en efecto aceptas y corres el riesgo de que quien quiera que encuentre esa llave, pueda entrar en esas tres viviendas. Tú lo has aceptado y perfecto.
      Otra cosa muy distinta es que ese cerrajero, por su propio criterio, te haga una llave maestra que además de las tres viviendas que tú le has autorizado a que se abran con una sola llave, te abra también el coche, te arranque la moto y te abra la caja fuerte que tienes escondida bajo el suelo.
      Este caso es lo mismo.
      Saludos.
      Alquimista

      Responder
      • Bosco

        Sí, pero si a ese cerrajero le das un llavero con un montón de llaves y le dices “quiero que me hagas una llave maestra” sin decir cuales quieres y cuales no (lo fácil), lo más seguro es que el cerrajero haga una copia de todas.

        En Chrome te especifica que se sincronizará todo, es más creo que hay opción de seleccionar lo que se quiere sincronizar y lo que no. ¿Que es lo que pasa?, que el usuario común no lee las cosas y hace “lo que se considera que es más fácil”. Pero sigo sin ver el fallo de seguridad. Sincroniza las contraseñas que tú has guardado en el navegador que tu utilizas en tu pc o incluso en otro dispositivo móvil con tu cuenta de Gmail y creo que las tablet y móviles siguen siendo personales como el pc.

        Y cuando dices a servicios que nada tienen que ver con Google como webmail ¿desde donde accedes?

        Un saludo

        Responder
        • Alquimista

          Acceder a un servicio webmail desde Chrome no significa que el servicio sea de Google.
          Eso sería tanto como decir que “toda internet es de Google siempre que navegues con su navegador”.
          No, eso no es correcto.
          Una empresa de software (y me da igual que se decline Google, Microsoft o cualquier otra) sólo puede sincronizar servicios entre sus productos.
          Puedo estar de acuerdo, en paralelo, en que el usuario no lee las condiciones de servicio que acepta en la mayoría de los casos. Lo critico en el propio post y en otros que he escrito en esta web. Se hace con Facebook, se hace con Twitter y se hace con Google.
          Pero creo que cualquiera consideraría un bug, o como mínimo un fallo colateral importante, que al aceptar las condiciones de servicio de Facebook, te encontraras con que desde esta red social se te abren contraseñas y se te autocompleta información personal en otras plataformas fuera de Facebook y con la sesión cerrada.
          Lo mismo considero si ocurre con Chrome. Y añado que es un bug porque con sesión abierta y todo aceptado igual con una cuenta de Gmail sincronizada, no ocurre el mismo fenómeno si en el dispositivo haces lo mismo con otro navegador. En este caso, todo queda en su sitio y Google sólo sincroniza contraseñas y accesos entre sus productos.
          Sólo en la combinación Chrome con Gmail y Android (versión 4.4.2) ocurre esto. Al menos, que yo haya testado.
          Saludos.

          Responder
          • Bosco

            Yo no he dicho en ningún momento que el servicio sea de Google pero accedes a él a través de Chrome que esta si que es una herramienta de Google. Cuando tu le das a que te recuerde la credencial que has introducido ¿dónde crees que se guarda?
            Cuando tu te compras tu terminal Android e introduces tu cuenta no se te sincroniza nada de Chrome a menos claro está que abras Chrome y entres con tu cuenta de Gmail (la misma que usas en tu ordenador habitual).

            Como tu bien dices “Una empresa de software (y me da igual que se decline Google, Microsoft o
            cualquier otra) sólo puede sincronizar servicios entre sus productos” y creo que ya he mencionado que Chrome es de Google y es el navegador que has utilizado, en él cual has aceptado el guardado de contraseñas y el que vas a utilizar en Android. Es normal que se sincronice todo si así está configurado vuelvo a decir que Chrome es de Google y las contraseñas están almacenadas las almacenas. Si no quieres que las contraseñas se sincronicen tienes una opción en la configuración de la aplicación Chrome que con quitar el check es mas que suficiente.

            Si quieres decir algo de un posible bug puedes decir que es fácil saber las contraseñas que están almacenadas en Chrome accediendo a “chrome://settings/passwords” desde el navegador en un pc. Eso sí, tras el revuelo que esto tuvo, te va a pedir la contraseña del usuario activo en ese ordenador.

            Y claro que no ocurre lo mismo con otro navegador. No es Chrome y no tiene almacenadas y sincronizadas las contraseñas que tu almacenas en Chrome desde otro dispositivo, eso si que sería un grave fallo de seguridad en Android.

            Pd. Si como pones eres Hacker deberías saber un poco más acerca de lo que escribes, no digo que esté mal, sólo que te informes más.
            Saludos.

          • Alquimista

            A ver, yo soy el primero que ha escrito hasta la saciedad que Chrome, Gmail y Android son de Google. ¡Faltaría más! eso no hace falta ni reescribirlo, porque es consabido. En eso baso, precisamente, lo que yo considero un bug, pero si lo prefieres y lo consideras más adecuado, lo dejamos en “irregularidad”.

            ¿Por qué es un error y no del usuario sino de la sincronización de los programas?. Reitero (y de verdad que lo siento, pero no me vas a sacar de esta opinión). A saber:

            – Es perfectamente lógico, normal, aceptado, cómodo, simple y hasta ventajoso que Google sincronice todos los servicios con sus productos: Gmail, Chrome, Drive, Calendario, Android (su Sistema), Youtube… ¿sigo?. Vale. Hasta ahí, una vez más, perfecto.

            – Claro que puedes desactivar todos estos procesos de integración y sincronización y claro que es una irresponsabilidad de un usuario no leerse los términos de uso y aceptar muchas cosas sin saber o sin tomarse la molestia de comprobar.

            – Pero, lo siento, NO se puede considerar sincronización de Chrome, el que por tú acceder a tu cuenta de Gmail desde un dispositivo nuevo, su sistema operativo (Android) te abra y ponga a disposición de cualquiera que tenga acceso a ese dispositivo (con permiso o no) al resto de las plataformas y servicios QUE NO SON DE GOOGLE (y que no estaban presentes en el historial de navegación previa) y que esa supuesta “sincronización lógica” que tú defiendes, abre de par en par.

            – ¿Es correcto que esto se consdiere una opción de comodidad del navegador de Google, porque tú has aceptado la sincronicidad?. No, y te lo he expuesto en mi respuesta anterior. De ser así, esta operación se repetiría usases el navegador que usases, siempre que hubieras sincronizado tu cuenta de Gmail en el dispositivo android, porque sería una función de sincronía de tu cuenta de Gmail y sus permisos. Y no ocurre así.

            – Si es una opción de sincronización de tu navegador Chrome (y no de tu cuenta Gmail) en ese caso, daría igual que usases Android, o cualquier otro sistema. Todo se te sincronizaría en base al autocompletar activado por eliminación (?) en tu navegador. Y tampoco se da este fenómeno en el caso que analizo en el post y en las comprobaciones que he hecho antes de escribirlo.

            – También sería una función normal (como tú defiendes) si esta misma operación que yo denuncio, se repitiera en otro dispositivo en el que emplees Gmail, con Android y Chrome sincronizando las cuentas. Y tampoco sucede así.

            De modo que si un fenómeno que desprotege tu privacidad en plataformas externas a Google, se da sólo en un determinado caso muy concreto, y NO en el resto de utilizaciones de esos mismos productos, yo (perdóname) tiendo a pensar que estamos ante la presencia de un bug, o un agujero, o un descuido, o un error… Ponle tú la etiqueta que quieras.

            – Existen multitud de errores que (si son sistémicos) implican la apertura del código fuente para ser detectados y eso queda fuera del alcance de la mayoría de la gente. En otros muchos casos, los bugs se detectan en determinados funcionamientos de los programas y, en concreto, cuando éstos se relacionan (como en este caso, se sincronizan sólo de determinada manera) con otras aplicaciones concretas. Esto es mucho más fácil de encontrar y cuando se logra, se puede considerar que los desarrolladores lo tuvieron en cuenta y que esa función está ahí puesta voluntariamente.

            Es como caer de pie y con estilo, cuando lo que realmente estamos apreciando es un trompazo en toda regla. Creo que este es uno de esos casos y lamento que tu criterio de la sincronización de aplicaciones te haga pensar que este caso concreto entra dentro de lo aceptable y buscado por los desarrolladores de Google en pro de la comodidad de usuarios. Pero yo creo que no es así, por las razones que te he expuesto en este comentario.

            Saludos de nuevo.

Deja una Respuesta