Foro de elhacker.net

Publicado el 25 de julio de 2011 por Jaime Domenech

Un hacker ha descubierto que las contraseñas de usuarios de Android son guardadas en los dispositivos móviles a través del formato de texto plano, algo que es ilegal según la legislación española.

El experto ha explicado que las contraseñas son almacenadas en la base de datos SQlite, pero ha alertado de que esta su vez las guarda en los archivos de sistema del smartphone como texto plano, lo que hace que esa información sea vulnerable.

Para solucionar el problema, el hacker propone a Google que o bien opte por transformar las contraseñas o se decida a cifrarlas.

Andy Stadler, del departamento de Asistencia Técnica de Android, ha asegurado que el problema se encuentra en el correo de Android, ya que está aplicación es compatible con protocolos antiguos como POP3, IMAP, SMTP, y Exchange ActiveSync.

Básicamente, el uso de esas tecnologías implica que el usuario necesita introducir su contraseña cada vez que desee utilizar ese programa de correo móvil, y a su vez, Android debe recopilarla mientras se encuentre conectado.

Stadler ha confirmado que va a buscar una solución al problema pero también ha asegurado que el hecho de que las contraseñas estén cifradas no implica que sean más seguras.

En España, según se recoge en la Ley Orgánica de Protección de datos, no está permitido el empleo de contraseñas como texto plano, y se han dado casos de empresas como Arsys e Interflora que han sido sancionadas por incumplir ese punt0.


vINQulos

TechEye (http://www.techeye.net/mobile/android-passwords-are-stored-in-plain-text), eprivacidad (http://www.eprivacidad.es/almacenar-contrasenas-texto-plano-prohibido/)

FUENTE :http://www.theinquirer.es/2011/07/25/android-almacena-las-contrasenas-en-texto-plano.html

menudo fallo

fail total!!!!!!! como van a hacer eso!!!!!!! un plano??? no jodan me pongo con wordperfect a editar ajajaj

El que las contraseñas se almacenen cifradas en el dispositivo no ayuda en nada a la seguridad, porque al fin y al cabo debe de tenerlas en plano para utilizarlas ;)

Saludos

Thunderbird, outlook, messenger, yahoo messenger, googletalk, skype y muchos otros sistemas guardan la contraseña cifrada pero descifrable, basta ir al registro del sistema y descifrar cáda contraseña tal como lo hace este software:
http://nirsoft.net/utils/mspass.html

No veo cual es el problema de guardar la contraseña de esa forma si total... cuando alguien entra a tu pc también puede obtener todas tus contraseñas.
La diferencia es que si no me equivoco en lo sistemas android el usuario no tiene acceso a dichos archivos con contraseñas sino solo el sistema como root.

Igual está bién que los cifren pero tal como dice stadler, esto no va a significar que sea mas seguro o no.

WHK +1000

el resto exajera, como dijo google, esos protocolos antiguos requieren de contraseña directa (a diferencia de el oAuth de twitter, facebook, y a saber kien mas)

si la sifraran en una sola direccion  (md5, o sh6)  no podrian desifrarla

y si la  sifraran con un algoritmo desifrable, cual es el caso entonces?

Y ... si no se pudiese descifrar, no sería cifrado, ¿no lo crees ? ^^
Sería convertir en garbage la información ... la idea es que sea descifrable, por la persona u programa al cual le corresponde descifrarlo ...

Por parte de los devs de Android esto es un terrible mamarracho, por que podría haber hecho un enfoque similar al wallet de KDE, Mac OS X, GNOME, etc ... de establecer una clave maestra que guarde todas las contraseñas con un cifrado apropiado y sólo bajo la autorización del usuario (y que como el wallet manager de kde, permita controlar qué programas están "conectados" al wallet )

Saludos.