Descubierta una grave vulnerabilidad en Android

ufff habra que tener cuidado con lo que bajemos

Tendremos que cambiarnos a ios...

Esta claro que windows tiene tantos virus porque esta realmente extendido y es lucrativo para los hackers. Como linux lo tienen cuatro gatos no se explotan vulnerabilidades, ahora que android se ha puesto de moda veremos mas y mas casos.

Android a salvo de virus por que esta basado en linux... jajajaja!

Deberías decir en la noticia que el exploit solo se puede explotar si la aplicación está instalada como aplicación del sistema, y esto solo se puede conseguir de 2 maneras.

- Metiendo el apk manualmente en System/app, para lo cual hace falta un explorador de archivos y tener rooteado el dispositivo.

- Concediéndole a una aplicación maliciosa acceso root, de forma que ella misma pueda moverse a la carpeta de sistema.

Así que, antes de que cunda el pánico:
1- Si no tenéis rooteado el teléfono directamente la vulnerabilidad no os afecta.
2- Si tenéis rooteado el teléfono, solo tenéis que andaros con ojo las aplicaciones a las que le concedéis acceso root.

Ni con los móviles podemos estar trankilos ya de troyanos !! xD

J*

Lo que faltaba, que me enciendan la camara. Pues pueden flipar ! ! !

Ya empezamos también con Android, esta es la primera pero saldran muchas mas para joder la marrana bien.

Un saludo

No es la primera vez que google tiene un fallo de seguridad en android y tardan siglos en arreglarlo, nunca fueron fallos "demasiado graves" por que casi siempre pasa por que la app maliciosa tenga root pero aún así deberían tratar estos temas con prioridad y normalmente pasan de ellos a no ser que den mucho bombo.

lecitron escribió:Esta claro que windows tiene tantos virus porque esta realmente extendido y es lucrativo para los hackers. Como linux lo tienen cuatro gatos no se explotan vulnerabilidades, ahora que android se ha puesto de moda veremos mas y mas casos.

Android a salvo de virus por que esta basado en linux... jajajaja!

Ningún SO es invulnerable, cuanto mas usado sea mas se atacará, pero eso no quita que la seguridad de unos y de otros no sea totalmente distinta, si linux o incluso macos tuvieran el mercado de windows se detectarían muchos mas fallos, pero dudo muchisimo que siquiera se acercaran al nivel de windows.

josesoria escribió:Ya empezamos también con Android, esta es la primera pero saldran muchas mas para joder la marrana bien.

Un saludo

Nop, no es la primera ni mucho menos, ya ha tenido otros estilo de programas que supuestamente no necesitaban permisos y luego podían aceder a medio movil etc... la cuestión es que lo solventen rápido y prioricen un poco mas la seguridad que ultimamente la están dejando de la mano demasiado(y aún así el sistema para lo extendido que está aguanta muy bien)

Esta claro que windows tiene tantos virus porque esta realmente extendido y es lucrativo para los hackers. Como linux lo tienen cuatro gatos no se explotan vulnerabilidades, ahora que android se ha puesto de moda veremos mas y mas casos.

Android a salvo de virus por que esta basado en linux... jajajaja!

Android usa el núcleo Linux, pero no es libre, por lo que android es y no es Linux.
Linux es un sistema muchísimo más seguro que Windows, y además, los virus pueden hacer mucho menos daño que en Windows. Además de muchas otras cosas que hacen que los que hacen virus ni se planteen hacerlos. Y sí, lo de "4" gatos también, pero mejor para nosotros el tener un sistema operativo mejor, gratis, libre y sin complicaciones hoigan.

Ahora tambien mi movil puede ser un Zombie?

Joder con la moda Zombie..

El problema es de Android y Goggle por hacer un SO tan fragmentado.
El gran defecto de Android

Todos nos podemos equivocar, pero lo peor de todo es no poder arreglarlo.
Como en este caso.....

SLSD

Din-A4 escribió:

Esta claro que windows tiene tantos virus porque esta realmente extendido y es lucrativo para los hackers. Como linux lo tienen cuatro gatos no se explotan vulnerabilidades, ahora que android se ha puesto de moda veremos mas y mas casos.

Android a salvo de virus por que esta basado en linux... jajajaja!

Android usa el núcleo Linux, pero no es libre, por lo que android es y no es Linux.
Linux es un sistema muchísimo más seguro que Windows, y además, los virus pueden hacer mucho menos daño que en Windows. Además de muchas otras cosas que hacen que los que hacen virus ni se planteen hacerlos. Y sí, lo de "4" gatos también, pero mejor para nosotros el tener un sistema operativo mejor, gratis, libre y sin complicaciones hoigan.

Android es libre completamente, te puedes descargar el código de todo el sistema, lo único que no es libre son algunas apps que casi todo movil android lleva como el gtalk, el play store etc... pero todo el sistema es libre(y casi todas las apps que trae de serie tb)

Pues haber si lo soluciona y rapidito...
Ya no hay manera de tener un aparato electronico y estar seguro. Que mundo....
Saludos

No tengo el teléfono rooteado, espero que ande libre de problemas! Con lo bien que me viene a mi día a día la aplicación del Monster Hunter 3 Ultimate ! espero que no sea maliciosa !

PD
Recomiendo a todos los hunters usarla. Es gratuita Se llama MH3U Dex (está en Play Store). Es MUY MUY útil y más siendo portatil. También teneis el MH3U Helper, muy buena también.

Muy buena apreciación...

La noticia debería actualizarse con esta info

josemurcia escribió:Deberías decir en la noticia que el exploit solo se puede explotar si la aplicación está instalada como aplicación del sistema, y esto solo se puede conseguir de 2 maneras.

- Metiendo el apk manualmente en System/app, para lo cual hace falta un explorador de archivos y tener rooteado el dispositivo.

- Concediéndole a una aplicación maliciosa acceso root, de forma que ella misma pueda moverse a la carpeta de sistema.

Así que, antes de que cunda el pánico:
1- Si no tenéis rooteado el teléfono directamente la vulnerabilidad no os afecta.
2- Si tenéis rooteado el teléfono, solo tenéis que andaros con ojo las aplicaciones a las que le concedéis acceso root.

Da igual el sistema del que hablemos, siempre parece que el mundo se acaba cuando sale un agujero de seguridad....y luego el 99% de las veces no es nada

menos mal que tengo Apple, es chachi

La noticia no es novedad, la vulnerabilidad ya lleva un tiempo siendo conocida.

Y lo gracioso es que para que funcione tienes que darle tu los permisos (no se si hay que ser root o no), pero básicamente, te bajas de cualquier web maliciosa una apk sin ningún certificado de seguridad, te pide que le des permisos de admin y se los das.

Genius.

AIXI escribió:Nop, no es la primera ni mucho menos, ya ha tenido otros estilo de programas que supuestamente no necesitaban permisos y luego podían aceder a medio movil etc... la cuestión es que lo solventen rápido y prioricen un poco mas la seguridad que ultimamente la están dejando de la mano demasiado(y aún así el sistema para lo extendido que está aguanta muy bien)

Eso no es cierto, ninguna aplicación puede saltarse el sistema de permisos, ni siquiera esta, que lo que hace es modificar los permisos concedidos. Y de hecho creo que es la primera vulnerabilidad que posibilita algo así.

gominio escribió:menos mal que tengo Apple, es chachi

Aunque no lo parezca, iOS es un SO mucho más vulnerable, si de cara al usuario no hay que preocuparse es porque todo pasa por el filtro de Apple y solo te la pueden colar si tienes jailbreak y te bajas aplicaciones de repositorios.

esto me suena a los antiguos correos en donde tenías que reenviárselo a 15 personas para que no te pasara nada

cual es la aplicacion??
se libero el codigo de dicha aplicacion?

Mala noticia.

[ironic]Que va, yo no me creo esto.
Si Android es mucho mejor y con mas posibilidades que el sistema ese de la manzanita hecho para pijos que quieren aparentar...[/ironic]

josemurcia escribió:

AIXI escribió:Nop, no es la primera ni mucho menos, ya ha tenido otros estilo de programas que supuestamente no necesitaban permisos y luego podían aceder a medio movil etc... la cuestión es que lo solventen rápido y prioricen un poco mas la seguridad que ultimamente la están dejando de la mano demasiado(y aún así el sistema para lo extendido que está aguanta muy bien)

Eso no es cierto, ninguna aplicación puede saltarse el sistema de permisos, ni siquiera esta, que lo que hace es modificar los permisos concedidos. Y de hecho creo que es la primera vulnerabilidad que posibilita algo así.

Si, ya ha pasado aunque esos fallos están tapados desde la versión 4, tanto de que al instalar una app que no pida permisos como instalación silenciosa desde el USB.
En la ultima rooted que fui(la del año pasado, no esta) tenían un stand "para cargar" los moviles que se valia de una de estas vulnerabilidades y la app que instalaba copiaba todas las fotos de los moviles y el último día las proyectaron en la pantalla gigante las mas "curiosas", también expusieron una prueba de concepto de una app que no pedía nada y era capaz de capturar el teclado. No he visto ningún virus ni derivado que la explotara pero existir existieron.
La vulnearabilidad de no-permission estuvo desde la version 1.5 hasta la 2.3 (de memoria lo digo)y eso que google dijo en la 2.1 que la habia solventado(y tiraba igual perfectamente), si buscar android no-permisions vulnerability en google veras unas cuentas(no solo fue una) que dejaban hacer de todo.

PD: Si nos remontamos muy hacia atras el fallo mas gordo fue el de salida, que la primerisima version de android salio de manera que todo lo que escribias lo ejecutaba en una consola como root detras, y si en el chat escribiar reboot y le dabas al intro el movil se te reiniciaba, aunque eso a mi me hizo mas gracia que otra cosa la verdad.

vaya tela yo no se como dejan que pase todo esto la verdad la compañia que sea de las apelicaciones.

todo en esta vida es vulnerable, pero si eres un poco espabilado, sabrás como no tener esos problemas.

---- No instalar APK descargadas de páginas web ----

El que no quiere virus en windows, no utiliza el instalador de softonic, o desactiva todas las opciones de los instaladores.

Android va a ser el proximo windows..... Un filón para las compañias de antivirus

ja ja

taragon escribió:Tendremos que cambiarnos a ios...

Ni harto vino

Primero:
Esto no lo encontraras en google play.

Segundo:
Solo puede obtener permisos que ya tenga la aplicacion, si la aplicacion no puede hacer llamadas, esto tampoco.
Si por cualquier cosa descubren como darle nuevos permisos, android informa cada vez que se cambian los permisos de una aplicacion.

FIN

Por ejemplo en IOS hay que tener mas cuidado porque con un simple cargador modificado te pueden instalar la apliacion que quieran, con los permisos que quiera y te pueden dejar sin dinero en el banco con solo enchufarlo a la corriente.

La información de la noticia está sesgada.

AIXI escribió:

josemurcia escribió:

AIXI escribió:Nop, no es la primera ni mucho menos, ya ha tenido otros estilo de programas que supuestamente no necesitaban permisos y luego podían aceder a medio movil etc... la cuestión es que lo solventen rápido y prioricen un poco mas la seguridad que ultimamente la están dejando de la mano demasiado(y aún así el sistema para lo extendido que está aguanta muy bien)

Eso no es cierto, ninguna aplicación puede saltarse el sistema de permisos, ni siquiera esta, que lo que hace es modificar los permisos concedidos. Y de hecho creo que es la primera vulnerabilidad que posibilita algo así.

Si, ya ha pasado aunque esos fallos están tapados desde la versión 4, tanto de que al instalar una app que no pida permisos como instalación silenciosa desde el USB.
En la ultima rooted que fui(la del año pasado, no esta) tenían un stand "para cargar" los moviles que se valia de una de estas vulnerabilidades y la app que instalaba copiaba todas las fotos de los moviles y el último día las proyectaron en la pantalla gigante las mas "curiosas", también expusieron una prueba de concepto de una app que no pedía nada y era capaz de capturar el teclado. No he visto ningún virus ni derivado que la explotara pero existir existieron.
La vulnearabilidad de no-permission estuvo desde la version 1.5 hasta la 2.3 (de memoria lo digo)y eso que google dijo en la 2.1 que la habia solventado(y tiraba igual perfectamente), si buscar android no-permisions vulnerability en google veras unas cuentas(no solo fue una) que dejaban hacer de todo.

PD: Si nos remontamos muy hacia atras el fallo mas gordo fue el de salida, que la primerisima version de android salio de manera que todo lo que escribias lo ejecutaba en una consola como root detras, y si en el chat escribiar reboot y le dabas al intro el movil se te reiniciaba, aunque eso a mi me hizo mas gracia que otra cosa la verdad.

La vulnerabilidad por USB era eso, una vulnerabilidad por USB que concedía los permisos requeridos. Yo lo que estoy diciendo es que ninguna aplicación puede saltarse el sistema de permisos, no puede hacer nada que no haya sido previamente definido en el AndroidManifest. Y este mismo exploit lo que hace es modificar los permisos concedidos a las aplicaciones, no saltárselos.

Con lo bonito que era el nokia 3330 , solo llamar y sms y como mucho jugar a la serpiente. la verdad que cuanta tonteria hacen los moviles de hoy en dia

Como bien algunos otros han dicho, ningún sistema operativo es invulnerable (o al menos lo más sensato es dar por hecho que no lo es si se desconoce cómo funciona interiormente).
Así pues, el único problema que le tiene que preocupar al usuario es la manera en cómo se gestionan las actualizaciones para tapar esa seguridad en cada sistema operativo:
Microsoft, Apple y Google publican los parches para sus sistemas operativos (Windows, MacOS, Android) cuando ellos pueden (o así se espera de ellos).
Los sistemas operativos basados en el núcleo de código libre Linux (que no sistema operativo) que son ayudados por la comunidad del software libre reciben estas actualizaciones a poco rato de haberse descubierto la vulnerabilidad a tapar.
Como ejemplo, en esta web de Debian GNU/Linux, se van anunciando muchas, muchas vulnerabilidades que van apareciendo, prácticamente todos los días (y no salen en las noticias, pero problablemente tengan la misma repercusión que las que salgan, después de todo, son vulnerabilidades).
La diferencia radica en el tiempo en que le dejas al atacante a que penetre en tu dominio mientras exista una vulnerabilidad, pero hay diferencias: Hay dominios que son descubiertos por la comunidad, que se publica cómo se penetra y seguidamente se trabaja en la solución. Los hay que son descubiertos por "los malos" antes que los demás, y ahí es donde está el verdadero problema que no se puede arreglar de ningún modo por nada ni nadie (a parte del tiempo que tardan algunas de las empresas que trabajan por su cuenta). Por eso hay que estar siempre al día con las actualizaciones.

Y otra cosa más: cada nueva aplicación crea nuevas puertas que pueden ser vulnerables (hay que mirarlo como si una aplicación es una ampliación del sistema operativo). Por eso es importante mirar los permisos que ciertas aplicaciones piden en las AppStore. Por desgracia, aún falta educar mucho sobre cómo funciona esto a la sociedad, y lo peor es que en la prensa no se suele conseguir de forma efectiva.

Pero antes que la AppStore ha existido siempre el ordenador de sobremesa y los problemas con Java, con los navegadores, con los ejecutables que todos nos decargamos y ejecutamos sin haber pensado que estamos dando permiso al que ha creado ese conjunto de instrucciones a ser ejecutado en nuestra máquina y que sólo Diosito (ola ke ase komo hestà¿) sabrá lo que hay allá dentro. Es decir, vivimos rodeados de puertas abiertas, como la vida misma

Espero que no haya dicho muchas mentiras...

Bufff, esto tiene pinta de que en un futuro va a ir a mucho más. Creo que es muy importante que las empresas se centren en la seguridad de sus SS.OO., no estamos hablando de cualquier cosa. Hoy en día el teléfono es la mayor fuente de información de lo que hace una persona en su vida, tanto a nivel de cuentas, como de posicionamiento, personas, etc.

Saludos

ESO CON iOS NO PASABA!

Mientras tengamos el teléfono sin root y sin instalar apk de fuentes desconocidas no hay problema y el que trastea ya sabe a lo que se arriesga asi que simplemente un poco de ojo y cuidado.

EDIT: vale nada, pense que era SOLO en 1.6

Me he acojonado al leer el título xDD Menos mal que yo nunca bajo aplicaciones raras.

Pues que queréis que os diga, yo sigo muy contento con mi Nokia E71 y su symbian

exitido escribió:Primero:
Esto no lo encontraras en google play.

Segundo:
Solo puede obtener permisos que ya tenga la aplicacion, si la aplicacion no puede hacer llamadas, esto tampoco.
Si por cualquier cosa descubren como darle nuevos permisos, android informa cada vez que se cambian los permisos de una aplicacion.

FIN

Por ejemplo en IOS hay que tener mas cuidado porque con un simple cargador modificado te pueden instalar la apliacion que quieran, con los permisos que quiera y te pueden dejar sin dinero en el banco con solo enchufarlo a la corriente.

Y violar a todas las mujeres de la casa y matar a todos los menores de 6 años de 20 kms a la redonda, y todo eso solo enchufándolo a la corriente, que ya si te metes en internet se activan las bombas nucleares.

leylha escribió:

exitido escribió:Primero:
Esto no lo encontraras en google play.

Segundo:
Solo puede obtener permisos que ya tenga la aplicacion, si la aplicacion no puede hacer llamadas, esto tampoco.
Si por cualquier cosa descubren como darle nuevos permisos, android informa cada vez que se cambian los permisos de una aplicacion.

FIN

Por ejemplo en IOS hay que tener mas cuidado porque con un simple cargador modificado te pueden instalar la apliacion que quieran, con los permisos que quiera y te pueden dejar sin dinero en el banco con solo enchufarlo a la corriente.

Y violar a todas las mujeres de la casa y matar a todos los menores de 6 años de 20 kms a la redonda, y todo eso solo enchufándolo a la corriente, que ya si te metes en internet se activan las bombas nucleares.

JAJAJAJAJAJAJAJAJJAJAJAAJ

Otra ventaja mas que le veo a mi viejo Nokia

Alguno cree que a Google se le pasa esto por alto? Si está ahí dicha vulnerabilidad es por la razón de que Google quiere y es de las empresas que junto con Microsoft cede nuestros datos y conversaciones a los gobiernos a través de sus agencias.

¿Qué podemos hacer? Dejamos de utilizar sus dispositivos y sistemas operativos?

Tails escribió:Alguno cree que a Google se le pasa esto por alto? Si está ahí dicha vulnerabilidad es por la razón de que Google quiere y es de las empresas que junto con Microsoft cede nuestros datos y conversaciones a los gobiernos a través de sus agencias.

¿Qué podemos hacer? Dejamos de utilizar sus dispositivos y sistemas operativos?

Y cuidado que también te observan a través de la pantalla de tu ordenador.

pero a ver, por que estais tan preocupados ? yo en el movil solo tengo a mis 10 amigos y 50 conocidos.. 5 fotos haciendome "pajillas" (es decir haciendo el tonto) y 4 mp3 contados.. nunca usaria una cuenta bancaria ni nada similar.. que si un programa accede al movil y va mal el mismo, pues reinstalo la rom y listo..

josemurcia escribió:

Tails escribió:Alguno cree que a Google se le pasa esto por alto? Si está ahí dicha vulnerabilidad es por la razón de que Google quiere y es de las empresas que junto con Microsoft cede nuestros datos y conversaciones a los gobiernos a través de sus agencias.

¿Qué podemos hacer? Dejamos de utilizar sus dispositivos y sistemas operativos?

Y cuidado que también te observan a través de la pantalla de tu ordenador.

Difícilmente porque no tengo webcam. Más temo a los móviles con iOs y Android.

Yo es que en tema móviles paso de andar instalando todas las apps del planeta. Simplemente las que necesito, y las que me puedo permitir pagar, y listo.

Ya sé que los smartphones son más ordenadores portátiles que teléfonos, ya, pero es mi enfoque para estos temas, y de momento no me ha ido mal.

También es cierto que yo uso BlackBerry, que no tiene el mismo furor de apps y jueguitos que iOS y Android...

Vaya, justo cuando me compro la JXD 7300 que va con Android, pasa esto. ¿seré yo el gafe?