IBM encuentra una grave vulnerabilidad en Android que afectaría al 55% de los usuarios

Investigadores de IBM han encontrado un agujero de seguridad crítico en el SO Android de Google que afectaría a más del 55% de los usuarios de la plataforma. En estos momentos ya existe parche, aunque no llegará a todos los usuarios de forma rápida.

Según cuenta IBM, la vulnerabilidad encontrada podría permitir que una aplicación maliciosa sin privilegios tenga la capacidad de convertirse en una aplicación con la que un posible atacante se adueñe del dispositivo en cuestión.

La vulnerabilidad, asignada a CVE-2015-3825, afecta a las versiones Android 4.3 y superiores, incluyendo la última versión de Android M. En esencia, el agujero reside en un componente de la plataforma Android llamado OpenSSLX509Certificate, el cual puede ser explotado por una aplicación para Android que compromete al sistema hasta el punto de acceder a su totalidad.

Un ejemplo de ello lo podemos ver en el vídeo que han colgado desde IBM junto al paper publicado. En las imágenes podemos ver un ataque a modo de prueba que demuestra la forma en que fueron capaces de explotar el agujero utizando una app maliciosa y sustituirla por la aplicación real de Facebook, con el fin de robar las credenciales de acceso a la red social.


Una vez que el usuario ejecuta esa aplicación (sin privilegios aparentes), se descarga un código adicional que sobrescribe la app existente, cargado con un exploit que ofrece permisos adicionales a través de la vulnerabilidad encontrada. Además, los investigadores también descubrieron otra serie de agujeros en SDKs de terceros que podrían permitir a posibles atacantes ejecutar código remoto desde apps que utilizan estos SDK.

IBM ha informado ya a Google del fallo antes de presentar el paper publicado y ya se ha emitido un parche, aunque como ocurre muchas veces es muy posible que la gran mayoría de usuarios de Android tarden en recibirlo o incluso no lleguen a hacerlo.
Pues a ir cargando metasploit
Agujeros por aqui, agujeros por alla lalalala.

Android cada día recuerda más al Windows de la era XP. Cada día un boquete crítico nuevo. Sólo que en el caso de Android, ni siquiera llegan los parches a los usuarios finales.
Dentro de poco la noticia será que un sistema, SO o programa no tiene fallos de seguridad, porque vaya telita ultimamente ...
Mapache Power escribió:Dentro de poco la noticia será que un sistema, SO o programa no tiene fallos de seguridad, porque vaya telita ultimamente ...


El problema no es que tenga o no tenga una vulnerabilidad, el problema es que ni este, ni el que afecta a la 4 que se encontró la semana pasada o el,que afecta a todos los Android desde la 2.3 de hace 2 semanas, van a ser tapados para la mayoría de móviles que no se pueden actualizar a la última versión, que son más del 70% de móviles Android vendidos. O Google cambia su política, o va a pasar algo gordo en una de estas vulnerabilidades.
Google avisada, parche publicado, por lo tanto en principio todo sigue su camino, vulnerabilidades las hay en todos los sistemas y muchas veces ni nos enteramos de ellos por que una vez informados son parcheados antes de que el usuario se de cuenta.

Ahora la pelota esta en el tejado de los fabricantes al igual que con stagefright, Google ya lo ha parcheado en los dispositivos Nexus (ayer me llego la OTA)
Que sucedan estos fallos es normal y tolerable. El problema es que mas del 90% de los moviles android ni se podran actualizar y corregir el susodicho fallo. Y por lo tanto, se convierte en una plataforma idonea para ser explotada, un verdadero problema para los usuarios.
eR_pOty está baneado por "GAME OVER"
agugero por aqui , otro por alla. esto parece un queso gruyere... voy a por el papel de aluminio no vaya a ser que me roben mis fotos en pelotas

sinceramente, me preocupa lo mas minimo.
xals_punk escribió:Google avisada, parche publicado, por lo tanto en principio todo sigue su camino, vulnerabilidades las hay en todos los sistemas y muchas veces ni nos enteramos de ellos por que una vez informados son parcheados antes de que el usuario se de cuenta.


El problema está en que ahora a ver qué fabricantes actualizan los terminales, y si realmente acaban llegando a todos. La política de actualizaciones de Android es nefasta y viendo lo que se acaban preocupando los fabricantes por los terminales que lanzan al mercado una vez los han cobrado está claro que muchísimos no van a actualizar.

Google tiene que cambiar de una vez la política de licenciamiento del sistema operativo y tomar el control de ciertas actualizaciones porque aunque digan que es responsabilidad del fabricante los que firman el sistema operativo son ellos y esto puede acabar desembocando en una espantada de usuarios en un futuro no muy lejano. Recordemos que la gente que pretende gastarse 600 eurs en un terminal son fácilmente convencibles de que se pillen un iPhone y para la gama baja Microsoft está apostando por Windows Phone de una forma correcta.

Luego está el factor de lo movido que es el mercado de móviles, que no son PCs que se cambian renuevan en plazos muy dilatados en años, es muy frecuente encontrar gente que cambia el móvil cada año o cada dos, hay más movimiento y poca gente se mantiene fiel a una marca o sistema operativo.

En conclusión, Google, haz los deberes de una vez, da un manotazo en la mesa y cambia lo que tengas que cambiar, porque te puedes acabar metiendo en un problema muy gordo.
xals_punk escribió:Google avisada, parche publicado, por lo tanto en principio todo sigue su camino, vulnerabilidades las hay en todos los sistemas y muchas veces ni nos enteramos de ellos por que una vez informados son parcheados antes de que el usuario se de cuenta.

Ahora la pelota esta en el tejado de los fabricantes al igual que con stagefright, Google ya lo ha parcheado en los dispositivos Nexus (ayer me llego la OTA)

Exacto
eR_pOty escribió:agugero por aqui , otro por alla. esto parece un queso gruyere... voy a por el papel de aluminio no vaya a ser que me roben mis fotos en pelotas

sinceramente, me preocupa lo mas minimo.

Te da igual de verdad?
¿Un fallo en Android?, esta noticia debe estar mal.
el problema es el siguiente. Los fabricantes solo quieren dinero y si hay problemas, comprate el nuevo, con el parche puesto. Porque ponerse a adaptar android a cada terminal, les supone un gran gasto.

Por eso estoy hasta la coronilla de android y me paso a wp. Hay pocas app y pocas personalizaciones si. Pero al ser aun minoritario, es mejor tenerlo sin tantos bug y problemas de por medio.
eR_pOty está baneado por "GAME OVER"
NewDump escribió:
eR_pOty escribió:agugero por aqui , otro por alla. esto parece un queso gruyere... voy a por el papel de aluminio no vaya a ser que me roben mis fotos en pelotas

sinceramente, me preocupa lo mas minimo.

Te da igual de verdad?

eres persona de pocas palabras veo.
Entre la grave vulnerabilidad de Whatsapp para iPhone y ahora esta de Android cualquiera vuelve a estos sistemas operativos.

Seguiré con Windows Phone, que aunque seamos pocos ha sido demostrado que es el SO móvil más seguro del mundo, y hasta ha ganado premios por ello.
Tails escribió:Entre la grave vulnerabilidad de Whatsapp para iPhone y ahora esta de Android cualquiera vuelve a estos sistemas operativos.

Seguiré con Windows Phone, que aunque seamos pocos ha sido demostrado que es el SO móvil más seguro del mundo, y hasta ha ganado premios por ello.


WP tiene tan poco interés, al menos de momento, que no se le habrán descubierto fallos graves todavía. ¿Crees que no los tiene?
e9169 escribió:
Tails escribió:Entre la grave vulnerabilidad de Whatsapp para iPhone y ahora esta de Android cualquiera vuelve a estos sistemas operativos.

Seguiré con Windows Phone, que aunque seamos pocos ha sido demostrado que es el SO móvil más seguro del mundo, y hasta ha ganado premios por ello.


WP tiene tan poco interés, al menos de momento, que no se le habrán descubierto fallos graves todavía. ¿Crees que no los tiene?

Bueno, nadie ha dicho nada aún de sus vulnerabilidades, no? Parece que te pica un poco, no [sonrisa] ?

BYEBYE
eR_pOty escribió:
NewDump escribió:
eR_pOty escribió:agugero por aqui , otro por alla. esto parece un queso gruyere... voy a por el papel de aluminio no vaya a ser que me roben mis fotos en pelotas

sinceramente, me preocupa lo mas minimo.

Te da igual de verdad?

eres persona de pocas palabras veo.


Argumenta por que te dan igual creo que tu comentario de papel de aluminio no tiene nada que ver
eR_pOty está baneado por "GAME OVER"
e9169 escribió:
Tails escribió:Entre la grave vulnerabilidad de Whatsapp para iPhone y ahora esta de Android cualquiera vuelve a estos sistemas operativos.

Seguiré con Windows Phone, que aunque seamos pocos ha sido demostrado que es el SO móvil más seguro del mundo, y hasta ha ganado premios por ello.


WP tiene tan poco interés, al menos de momento, que no se le habrán descubierto fallos graves todavía. ¿Crees que no los tiene?


no le interesa ni a los desarrolladores, asi que ya ves tu como van hacer apps maliciosas si no hay mas que apps basicas. (abro paraguas anti-taliwindowsphone)

NewDump escribió:Argumenta por que te dan igual creo que tu comentario de papel de aluminio no tiene nada que ver

viewtopic.php?p=1739559082

y reconcorosa ademas.
Hoy no duermo por este fallo.
También se dijo el catastrófico fallo del stagefright que era el fin del mundo y simplemente era una teoría de explotar una puerta trasera que encima ni se ha podido usar gracias al código aleatorio de android. Quizá en 20 años alguien aburrido consiga aprovechar ese fallo y usarlo en móviles completamente descatalogados, en móviles que nadie usará o simplemente al ser tan chungo de conseguir nadie se moleste en investigarlo.


Tendremos que dejar pasar un tiempo para ver si esta noticia también es de las catastrofistas que se quedan en nada.
Y digo yo... Por qué cuando encuentran una vulnerabilidad dan hasta el más mínimo detalle de la misma?? Parece que estén avisando a los atacantes por donde pueden atacar. Es estúpido.
blackmasquerade escribió:Agujeros por aqui, agujeros por alla lalalala.

Android cada día recuerda más al Windows de la era XP. Cada día un boquete crítico nuevo. Sólo que en el caso de Android, ni siquiera llegan los parches a los usuarios finales.



La culpa es únicamente del usuario, que compra algo que no le corresponde. Cuando salga el parche, con la siguiente nightly se arregla, pero que pasa, que el 98% de los usuarios de Android, no es que ni sepan que es una nighly, ni digamos actualizar, es que no saben ni que es un agujero de seguridad.
Si en vez de comprar móviles android, se compraran WP, este problema no existiría, pues a las horas, MS ya les hubiera pasado parche, pero Android no deja de ser un Linux y muestra claro, que a la gente le va grande.


El que sea código abierto, hace que cualquier interesado, encuentre el mismo fallo, que es corregido, basta que mire los cambios en el código y saque la forma de explotarlos.
Siempre pensé que estos fallos se dejan incluso a propósito para explotarse cuando se necesite. Ver los permisos de cualquier app de Google da miedo. Con un pequeño fallo de seguridad, te pueden grabar y filmar sin que te des la más mínima cuenta.
eR_pOty escribió:
e9169 escribió:
Tails escribió:Entre la grave vulnerabilidad de Whatsapp para iPhone y ahora esta de Android cualquiera vuelve a estos sistemas operativos.

Seguiré con Windows Phone, que aunque seamos pocos ha sido demostrado que es el SO móvil más seguro del mundo, y hasta ha ganado premios por ello.


WP tiene tan poco interés, al menos de momento, que no se le habrán descubierto fallos graves todavía. ¿Crees que no los tiene?


no le interesa ni a los desarrolladores, asi que ya ves tu como van hacer apps maliciosas si no hay mas que apps basicas. (abro paraguas anti-taliwindowsphone)

NewDump escribió:Argumenta por que te dan igual creo que tu comentario de papel de aluminio no tiene nada que ver

viewtopic.php?p=1739559082

y reconcorosa ademas.


Yes muy rencorosa xd
e9169 escribió:
Tails escribió:Entre la grave vulnerabilidad de Whatsapp para iPhone y ahora esta de Android cualquiera vuelve a estos sistemas operativos.

Seguiré con Windows Phone, que aunque seamos pocos ha sido demostrado que es el SO móvil más seguro del mundo, y hasta ha ganado premios por ello.


WP tiene tan poco interés, al menos de momento, que no se le habrán descubierto fallos graves todavía. ¿Crees que no los tiene?


En las maratones de hacking les meten caña a todos por igual. Y en el pwn2own es el único que no han conseguido tirar abajo.
Paté de gato escribió:
e9169 escribió:
Tails escribió:Entre la grave vulnerabilidad de Whatsapp para iPhone y ahora esta de Android cualquiera vuelve a estos sistemas operativos.

Seguiré con Windows Phone, que aunque seamos pocos ha sido demostrado que es el SO móvil más seguro del mundo, y hasta ha ganado premios por ello.


WP tiene tan poco interés, al menos de momento, que no se le habrán descubierto fallos graves todavía. ¿Crees que no los tiene?


En las maratones de hacking les meten caña a todos por igual. Y en el pwn2own es el único que no han conseguido tirar abajo.



WP son pocos usuarios, pero MS también actualiza de miedo. Cuando yo tuve WP, era una pasada, cada pocas semanas un parche, a veces grandes cambios a veces solo fallos de seguridad. Mientras que ni Google ni los vendedores de hardware se preocupan de tapar fallos en los terminales ya vendidos.
dogboyz escribió:Esta noticia contrasta con esta otra http://www.ipadizate.es/2015/07/10/poli ... one-apple/

Para vosotros haters

Si no me equivoco esa noticia salió en eol y decian exactmente lo mismo de android... Tal vez a esa web iPadizate, se le haya olvidado poner la parte correspondiente a Android

hilo_el-director-del-fbi-carga-contra-el-refuerzo-de-la-seguridad-en-ios-y-android_2040042
PElayin_5 escribió:
dogboyz escribió:Esta noticia contrasta con esta otra http://www.ipadizate.es/2015/07/10/poli ... one-apple/

Para vosotros haters

Si no me equivoco esa noticia salió en eol y decian exactmente lo mismo de android... Tal vez a esa web iPadizate, se le haya olvidado poner la parte correspondiente a android...

Jajajaj vaya owneada le has pegado y lo bueno que al haberle citado va a quedar para la galería de la vergüenza aunque borre su mensaje ahajahajajhuehuehue
_Frank_ escribió:
e9169 escribió:
Tails escribió:Entre la grave vulnerabilidad de Whatsapp para iPhone y ahora esta de Android cualquiera vuelve a estos sistemas operativos.

Seguiré con Windows Phone, que aunque seamos pocos ha sido demostrado que es el SO móvil más seguro del mundo, y hasta ha ganado premios por ello.


WP tiene tan poco interés, al menos de momento, que no se le habrán descubierto fallos graves todavía. ¿Crees que no los tiene?

Bueno, nadie ha dicho nada aún de sus vulnerabilidades, no? Parece que te pica un poco, no [sonrisa] ?

BYEBYE

Se debe pensar que no están muchos intentando encontrar vulnerabilidades para echar porquería contra Microsoft como si la vida les fuese en ello. XD
El día que no se encuentre una vulnerabilidad grave en Windows, Mac OS, Android e iOS lo declararemos fiesta mundial.
EL gran problema de android, la falta de actualizaciones de seguridad ...
exitido escribió:
PElayin_5 escribió:
dogboyz escribió:Esta noticia contrasta con esta otra http://www.ipadizate.es/2015/07/10/poli ... one-apple/

Para vosotros haters

Si no me equivoco esa noticia salió en eol y decian exactmente lo mismo de android... Tal vez a esa web iPadizate, se le haya olvidado poner la parte correspondiente a android...

Jajajaj vaya owneada le has pegado y lo bueno que al haberle citado va a quedar para la galería de la vergüenza aunque borre su mensaje ahajahajajhuehuehue

Casualmente hace poco me encontre un Android en la calle(un Huawei), con una combinación de botones le hice un reset y pude acceder a todas las fotos, contactos, etc del tío... Owned es la seguridad que tienen muchos Android que es pauperrima...
Menos mal que Google lanza los parches de seguridad para todos los dispositivos que usan su SO... ah no espera que solo los lanzan para sus terminales, los que tenemos un terminal no Nexus nos tenemos que buscar las habichuelas por nuestra cuenta, anda que voy a repetir terminal con Lagdroid [enfado1]
Mapache Power escribió:Dentro de poco la noticia será que un sistema, SO o programa no tiene fallos de seguridad, porque vaya telita ultimamente ...


Dentro de poco?? Me he perdido alguna etapa donde lo habitual eran sistemas completamente seguros sin ninguna vulnerabilidad??

Un sistema completamentre seguro en informática es algo casi utópico. Que te estes dando cuenta ahora por la información que circula por internet y la avalancha de parches que nos decargamos online es otra historia
yo antes me quejaba de que ios y wp sean cerrados y que no se puedan modificar a su antojo. Pero muchas veces es mejor un os cerrado, que uno abierto. Y android es de base linux, pero no todo entero. Porque linux se actualiza y cierras el fallo.

ademas, el fallo en android, es que los fabricantes se pasan por el forro las actualizaciones.
Aqui el problema no es tanto la vulnerabilidad, sino que el parche no llegara a la mayoria de los ususarios ya que los fabricantes no te informan del parche y no se molestan en enviartelo, solo esperan que tu telefono empiece a dar problemas para convencerte de que compres uno nuevo!!! Asi de simple.

Esta es otra de las razones por la cual estoy esperando W10 en los celulares para hacer el cambio de mi telefono, ya que son pocos los usuarios, por el momento, y tiene las aplicaciones que utilizo en mi dia a dia!!! [oki] [plas]
Android se basa en linux, pero sin una de sus mejores opciones: el sistema modular de actualizaciones.
Cuando empezaron las pruebas con su linux se basaron en ubuntu, que al cambiar de versión es mejor empezar de cero que actualizar, en vez de hacerlo en una rolling release.
Es lo que hacen las ota, descargan el sistema entero y borran los datos. Penoso.
Mientras no afecte a Whatsapp, que es la única aplicación que tengo instalada en el móvil XD, me vale...
yo como no tengo Android...

no me gusta nada.
@dogboyz
Si le haces un wipe se borran como minimo todas las cuentas y contactos, eso sin contar que no sea un samsung y entonces entre knox a pedirte la cuenta que habia en el telefono antes de resetearlo y eso sin contar que el tio no tuviera cerberus y te haya hecho varias fotos el movil sin que te enterases, ademas si no quieres que nadie pueda ver tus fotos en android lo tienes bien facil, ajustes, seguridad, encriptar telefono SI.

Y da igual lo que le hagan a tu movil, sin tu contraseña no van a poder acceder absolutamente a nada
Y que pinta IBM en esto? Tienen algo que ver con Android? Alguien que me ilumine por favor
Coincido con muchos de los comentarios anteriores. La politica de actualizaciones con Android es lamentable. También es cierto que hay tanta variedad de versiones y/o customs de los fabricantes que es imposible hacer una actualización generica para todos.

Creo que en este sentido los IOS y los Windows tienen ventaja.
nooo...mis archivos privados y mis cuentas, todas estan expuestas...un momento, yo tengo un lumia 1520 y no es android....ahhh...que alivio, hace mas de un año sin usar android y de lo mas contento!!!
majebusa escribió:iOS te amo.


Un fallo de WhatsApp permite robar chats y contactos del iPhone

http://www.laopinion.es/vida-y-estilo/t ... 21102.html

Yo no... ;)
No existe el sistema operativo infalible.

Que le quede claro a todo el mundo.
PElayin_5 escribió:@dogboyz
Si le haces un wipe se borran como minimo todas las cuentas y contactos, eso sin contar que no sea un samsung y entonces entre knox a pedirte la cuenta que habia en el telefono antes de resetearlo y eso sin contar que el tio no tuviera cerberus y te haya hecho varias fotos el movil sin que te enterases, ademas si no quieres que nadie pueda ver tus fotos en android lo tienes bien facil, ajustes, seguridad, encriptar telefono SI.

Y da igual lo que le hagan a tu movil, sin tu contraseña no van a poder acceder absolutamente a nada

joder es que es owned tras owned lol
No, si al final tendremos que volver a los 80 con cartas selladas y telefonos fijos de cable con marcacion por rueda. Tal y como dije en otro lugar mi Smartphone es BQ asi que me puedo olvidar de una actualizacion. Despediros de android, si es tan vulnerable como parece más vale quitarselo de encima aunque los otros tampoco se libran.


infojoe escribió:No existe el sistema operativo infalible.

Que le quede claro a todo el mundo.



Y las consolas? aun no he visto a nadie que le hayan entrado en su consola y robado partidas guardadas, capturas de pantalla o videos grabados xD

PElayin_5 escribió:Si le haces un wipe se borran como minimo todas las cuentas y contactos, eso sin contar que no sea un samsung y entonces entre knox a pedirte la cuenta que habia en el telefono antes de resetearlo y eso sin contar que el tio no tuviera cerberus y te haya hecho varias fotos el movil sin que te enterases, ademas si no quieres que nadie pueda ver tus fotos en android lo tienes bien facil, ajustes, seguridad, encriptar telefono SI.

Y da igual lo que le hagan a tu movil, sin tu contraseña no van a poder acceder absolutamente a nada


Con mi smartphone me he hakeado yo mismo, tengo el CMBackup por si acaso pasara algo que ya me paso los primeros dias, me di cuenta que puedo hacer un hardreset al terminal sin pedir nada, a pesar que tenga contraseña y luego de ello puedo acceder a todas las funciones del smartphone, si encima me hakean el mail entonces ya esta, entran en mi cuenta de google+ y ya sabran todas las aplicaciones que tenia instaladas y podran descargar todos los datos del CMbuckup y recuperarlo todo.

Ya porque no tengo nada importante si me lo hakean, fotos de tickets de compra de ram, unos cuantos juegos y poco más, apenas lo miro una o 2 veces a la semana (foreveralone) y asi es como me dura 1 semana la bateria, que si se que tengo smartphone es porque hace un pitido de bateria baja que sino ni se que existe xD. Pero si tuviera cosas importantes y un huevo usaria android. usaria mi Alcatel One Touch Easy que funcionaba con 3 pilas AAA y a tomar por culo.
Lo que no entiendo es como Google no centraliza las actualizaciones de seguridad, ya que en teoria, cada una de las responsabilidades del sistema operativo estan separadas en una capa diferente, es decir, las capas de acceso a hardware, la capa de seguridad, la capa de transacciones de red, la capa de almacenamiento, la capa de modelos de datos, la capa de modelos de interfaz de usuario y la capa de integración con servicios, y además de que las apps se ejecutan en un ambiente aislado (sandbox) para evitar que tengan acceso a información de otra app, por lo que una actualización de una capa no afectaria a las demas.

..... esperen..... me equivoqué, asi es como funciona Windows! https://msdn.microsoft.com/en-us/library/windows/apps/ff402533%28v=vs.105%29.aspx

Imagen

Imagen

No confundan peras con manzanas!. La seguridad de un sistema es independiente de la cuota del mercado como algunos han querido expresar aqui!. Es un hecho que IOS y Windows Phone son mucho más seguros que Android, simplemente por la forma como estan construidos.

La ventaja de Android es su propia perdición: La personalización. En Android no se respetan estandares ni guias, los desarrolladores hacen lo que se les da la gana en esta plataforma y ni el propio Google les dicen nada; cualquier mierd@ se publica en la Play Store y por eso es que hay tantas apps.

En Windows la cosa cambia y exige a los desarrolladores un poco más de trabajo. Ese es el sacrificio que se tiene que hacer por la seguridad.
60 respuestas
1, 2