NOS MUDAMOS...

NOS HEMOS TRASLADADO A

"Androípolis. El Diario de Android y Tecnología"

en colaboración con las mejores páginas del tema. Podéis seguirnos en:


o a través de Twitter en: @nivelblue o @androipolis



Siguenos en:

En otras palabras / In your language

Buscar

Loading

Nube de Etiquetas

3D (7) ADSL (7) Almacenamiento (14) Android (82) Aplicaciones Web (81) Apple (26) Apps Android (312) Arte (3) Ciencia (6) Citas (45) Consolas (13) Curiosidades (3) Ebooks (24) Economía (11) Educación (39) Fotografía (20) Gadgets (45) GNU/Linux (10) Google (38) Hack (13) Hacktivismo (3) Hardware (46) Hazlo tu mismo (6) HTC (9) Humor (63) Idiomas (3) Internet (118) iPhone (38) Judicial (16) Juegos (25) Legales (31) Mac (6) Manuales (9) Microsoft (6) Mozilla (2) Música (10) Nokia (3) P2P (11) Podcast (1) Política (13) Programación (3) Redes (9) Redes Sociales (38) Seguridad (6) SGAE (26) Software (57) Software Libre (33) Solidario (3) Sony (6) Tablets (5) Tecnología (18) Telefonía (50) Televisión (12) Ubuntu (2) Usb (1) varios (33) Vídeo (18) Virus y malware (7) Web (126) Windows (10) YouTube (3)

Leenos en tu e-book

También puedes seguirnos en

Colabora con nosotros

Publícalo en

Visitas

contador de visitas

Internautas TV

Gana dinero con Qustodian

Páginas amigas

Blogs a los que sigo

Lo + visto

Recibe los articulos via mail

Introduce tu dirección de correo electrónico:

Licencia

Creative Commons License
24 ene. 2011
 
INTECO (Instituto Nacional de Tecnologías de la Comunicación) ha publicado en su web una alerta en la que informa sobre un fallo en el navegador integrado en el sistema operativo Android que podría llevar al robo de datos de la tarjeta SD.

Dado el interés de esta información pasamos a reproducirla en su integridad.



Vulnerabilidad en Android permite robar datos de la SD.

Recursos afectados:
Versión 2.2 y anteriores de Android.

Descripción:
Se ha descubierto una vulnerabilidad que permite robar ficheros almacenados en la tarjeta SD de forma transparente al usuario.

Solución:
Por el momento no existe ningún parche oficial que permita solucionar el problema hasta que se publique la nueva versión de Android denominada Gingerbread (versión 2.3). Por ahora, la única opción es utilizar aplicaciones de terceros que se actualicen a través del Android Market en lugar de utilizar las aplicaciones embebidas en el propio Sistema Opertivo. Android Market proporciona un mecanismo de actualización automática independiente del sistema operativo y que ofrece alternativas comunes para la navegación (por ejemplo Opera Mobile). Firefox 4 portátil también está disponible en su versión beta y puede ser actualizado independiente del sistema operativo Android.

Se recomienda también no abrir enlaces que provengan de personas desconocidas y que se reciban por mail, correo o a través de redes sociales.

Detalle:
El investigador de seguridad Thomas Cannon ha descubierto una vulnerabilidad que permitiría robar un número limitado de datos y ficheros almacenados en el teléfono utilizando una página especialmente diseñada mediante HTML y Javascript. 

El navegador de Android no informa al usuario cuando se descarga un fichero. Por ejemplo "payload.html", se descargarí­a automáticamente en /sdcard/download/payload.html. Mediante JavaScript es posible abrir y ejecutar dicho fichero (mediante el navegador de Android) dentro del contexto local en el que dicho fichero se encuentra. 

Además, un acatante podrí­a obtener información sensible del sistema de ficheros "proc" como la versión del kernel y ciertos parámetros de configuración del mismo y que podrían ser utilizados para futuros ataques. También serí­a posible conseguir ciertos datos del propio navegador como los marcadores, historial, etc. Por tanto un atacante podrí­a conseguir contraseñas guardadas o incluso cookies de determinadas sesiones que se encuentre almacenadas.

Posiblemente el aspecto más perjudicial de esta vulnerabilidad es la posibilidad de conseguir ficheros almacenados en la tarjeta SD. Debido a su sistema de ficheros (fat32) y por tanto al no existir el concepto de propiedad, es posible conseguir descargar ficheros con un nombre predecible de forma totalmente transparente al usuario; ésto incluiría fotos y ficheros de vídeo.

Impacto:
Esta vulnerabilidad puede permitir a un atacante conseguir información sensible del dispositivo como contraseñas, cookies, historial de navegación, etc. además de permitir la descarga de ficheros almacenados en la tarjeta SD.
 Fuente: Instituto Nacional de Tecnologías de la Comunicación (INTECO)

Por otra parte Google está distribuyendo una actualización que soluciona el problema que se detectó en su momento con el envío de sms que eran enviados de forma aleatoria a otros usuarios de la agenda de direcciones (pasito a pasito).


0 comentarios:

Publicar un comentario