De un tiempo a esta parte, hemos visto como muchas compañías tecnológicas han comenzado a cifrar el tráfico de sus servicios, y otras han reforzado el cifrado que usan. Entre estas compañías tecnológicas se encuentra Google, que no se conforma con el aumento del uso del cifrado TLS/SSL en todas sus aplicaciones y servicios, ya que entiende que “no es suficiente” ya que, a pesar de que la mayoría de las plataformas y dispositivos usan valores predeterminados seguros, hay aplicaciones y bibliotecas que anulan dichos valores perjudicando la seguridad de las mismas, llegando incluso a cometer errores en algunos casos, unido al hecho de que las aplicaciones son cada vez más complejas, conectan con más servicios, y hacen cada vez más uso de bibliotecas de terceros.
Ante esta situación, el equipo de seguridad de Android ha lanzado una herramienta bajo código abierto con el objetivo de verificar la seguridad de los dispositivos y aplicaciones contra conocidas vulnerabilidades TLS/SSL así como contra los errores de configuración. Esta nueva herramienta se llama Nogotofail, y su código está disponible en GitHub. Dicha herramienta trabaja en Android, ISO, Windows, Linux, Chrome OS, OSX, y de hecho, en cualquier dispositivo que permita su conexión a Internet, según señala Google en su anuncio, donde añade que cuenta con un cliente fácil de usar para configurar los ajustes y obtener notificaciones en Android y Linux, así como el motor de ataque en sí, que puede ser desplegado a modo de router, servidor VPN o proxy.
Google termina señalando que lo han usado ellos mismos durante un tiempo y que han trabajado con muchos desarrolladores para mejorar la seguridad de sus aplicaciones. El hecho de que Nogotofail esté disponible como código abierto permitirá el avance del mismo con la colaboración de interesados, que podrán probar la seguridad de sus aplicaciones, aplicar nuevas funciones, ofrecer soporte para otras plataformas, y en general, ayudar a la mejora de la seguridad en Internet