Portada
mis comunidades
otras secciones
#5:
#4 Es que la vulnerabilidad la acaban de descubrir ahora. No es que lleven 4 años pasando de ella.
Y sí, los sistemas operativos libres son más seguros por el mero hecho de que este tipo de cosas son públicas ya que cualquiera puede trastear con el código y descubrir este tipo de cosas. Además, si google no se pone las pilas, cualquiera con los conocimientos necesarios (será por ROM's diferentes...) puede sacar un parche. En cambio en los sistemas operativos propietarios no puede hacer uno nada hasta que a la marca le parezca. Eso sin tener en cuenta que la mayoría de estos bugs no los dan a conocer, básicamente por imagen. ¿O te crees que las actualizaciones de Windows son para mejorar los tipos de letra? Si te miras lo que arreglan, muchas de ellas ponen "un atacante podría tomar control del ordenador de forma remota..." o cosas parecidas. Lo que pasa es que estamos tan acostumbrados que no nos damos ni cuenta.
Y sí, los sistemas operativos libres son más seguros por el mero hecho de que este tipo de cosas son públicas ya que cualquiera puede trastear con el código y descubrir este tipo de cosas. Además, si google no se pone las pilas, cualquiera con los conocimientos necesarios (será por ROM's diferentes...) puede sacar un parche. En cambio en los sistemas operativos propietarios no puede hacer uno nada hasta que a la marca le parezca. Eso sin tener en cuenta que la mayoría de estos bugs no los dan a conocer, básicamente por imagen. ¿O te crees que las actualizaciones de Windows son para mejorar los tipos de letra? Si te miras lo que arreglan, muchas de ellas ponen "un atacante podría tomar control del ordenador de forma remota..." o cosas parecidas. Lo que pasa es que estamos tan acostumbrados que no nos damos ni cuenta.
#15:
Sólo hay un terminal, Samsung Galaxy S4, que es inmune
Ejercicio:
1- Volver a la página de la noticia.
2- Observar con detalle el banner superior derecha, patrocinador del blog.
3- Valorar el riesgo real de la terrible vulnerabilidad.
Ejercicio:
1- Volver a la página de la noticia.
2- Observar con detalle el banner superior derecha, patrocinador del blog.
3- Valorar el riesgo real de la terrible vulnerabilidad.
#18:
¿Alguien se ha leído la noticia completa? Lo digo porque no basta con instalar una app desde fuera del Google Play, a parte hay que ponerla como app del sistema, lo cual hay que hacerlo manualmente...
"podría llegarse a conseguir control root del dispositivo si el paquete ha sido instalada como app de sistema por el fabricante o cocinero de ROMs"
Ojo, que no defiendo nada, la vulnerabilidad sigue ahí, pero vamos que tampoco es algo.....
"podría llegarse a conseguir control root del dispositivo si el paquete ha sido instalada como app de sistema por el fabricante o cocinero de ROMs"
Ojo, que no defiendo nada, la vulnerabilidad sigue ahí, pero vamos que tampoco es algo.....
#8:
#4 Y la solucion de "no instalar cosas fuera de Google play" es patetica, porque precisamente ese es el argumento que usan los de android para atacar Apple o a Windows Phone.
No a ver, una de las principales ventajas de Android sobre iOS o WP8 es que Android te permite una personalización inmensamente mayor, con launchers, widgets, temas... apps que cambian radicalmente la interfaz. Y todo eso se puede hacer sin necesidad de instalar ni una sola app de fuera de la tienda.
Lo que dices no tiene sentido, entre otras cosas, porque en iOS también existe el jailbreak y Cydia. La idea es que Android te permite hacer más sin necesidad de rootear ni nada de eso.
No a ver, una de las principales ventajas de Android sobre iOS o WP8 es que Android te permite una personalización inmensamente mayor, con launchers, widgets, temas... apps que cambian radicalmente la interfaz. Y todo eso se puede hacer sin necesidad de instalar ni una sola app de fuera de la tienda.
Lo que dices no tiene sentido, entre otras cosas, porque en iOS también existe el jailbreak y Cydia. La idea es que Android te permite hacer más sin necesidad de rootear ni nada de eso.
#6:
Lo de siempre. Una vulnerabilidad que sólo afecta a los que instalan aplicaciones de fuera de la tienda.
Pero es que esto es de risa. Hace que el móvil se crea que está firmada una app que no lo está. Pero es que si estás descargando de fuera de la tienda, ¿qué más da que la app no esté firmada?
Pero es que esto es de risa. Hace que el móvil se crea que está firmada una app que no lo está. Pero es que si estás descargando de fuera de la tienda, ¿qué más da que la app no esté firmada?
#28:
#25 El certificado de la web del Ministerio de Educación por supuesto que sí está firmado, por una Autoridad de Certificación (la FNMT), como los de todas las Administraciones Públicas.
El error en esta y otras webs de las AAPP se produce porque los navegadores no llevan instalados por defecto el certificado raíz de la FNMT y el certificado de las autoridades de certificación intermedias, necesarios para establecer la cadena de certificación. Es un problema del navegador, no de la web ni del certificado.
Te puedes descargar esos certificados de la web de la FNMT e instalarlos en tus navegadores:
http://www.cert.fnmt.es/index.php?cha=adm&sec=23&page=227
El error en esta y otras webs de las AAPP se produce porque los navegadores no llevan instalados por defecto el certificado raíz de la FNMT y el certificado de las autoridades de certificación intermedias, necesarios para establecer la cadena de certificación. Es un problema del navegador, no de la web ni del certificado.
Te puedes descargar esos certificados de la web de la FNMT e instalarlos en tus navegadores:
http://www.cert.fnmt.es/index.php?cha=adm&sec=23&page=227
#1:
¿Febrero? ¿Y aún no hay parche ni en los Nexus? Y encima un dispositivo no Nexus se libra antes que éstos
Joder con Google, luego nos quejábamos de Microsoft.
Joder con Google, luego nos quejábamos de Microsoft.
#49:
#37
Firefox no incluye el certificado raíz de la FNMT y de la policía por dejadez de nuestras AAPP:
https://bugzilla.mozilla.org/show_bug.cgi?id=435736
https://bugzilla.mozilla.org/show_bug.cgi?id=295474
https://www.mozilla.org/projects/security/certs/pending/
El CATCert ya ha sido incluido y el de la FNMT ha habido movimientos este año, por lo visto han hecho cambios en la jerarquía y cuando se hayan hecho dichos cambios enviarán los certificados a Mozilla para que los incluya en Firefox.
Lo cojonudo es que los de la policía que son los del dni-e no están ni pendientes. Así que si te haces un certificado firmándolo con tu DNI-e, no será reconocido, pero si te firmas uno con un certificado de la FNMT entonces sí, así que te puedes montar un sitio web y colocar un certificado firmado por ti mediante el certificado de la FNMT. Eso sí, aparecerán tu nombre, apellidos y DNI en la información de identidad de la web.
Firefox no incluye el certificado raíz de la FNMT y de la policía por dejadez de nuestras AAPP:
https://bugzilla.mozilla.org/show_bug.cgi?id=435736
https://bugzilla.mozilla.org/show_bug.cgi?id=295474
https://www.mozilla.org/projects/security/certs/pending/
El CATCert ya ha sido incluido y el de la FNMT ha habido movimientos este año, por lo visto han hecho cambios en la jerarquía y cuando se hayan hecho dichos cambios enviarán los certificados a Mozilla para que los incluya en Firefox.
Lo cojonudo es que los de la policía que son los del dni-e no están ni pendientes. Así que si te haces un certificado firmándolo con tu DNI-e, no será reconocido, pero si te firmas uno con un certificado de la FNMT entonces sí, así que te puedes montar un sitio web y colocar un certificado firmado por ti mediante el certificado de la FNMT. Eso sí, aparecerán tu nombre, apellidos y DNI en la información de identidad de la web.
Comentarios
Sólo hay un terminal, Samsung Galaxy S4, que es inmune
Ejercicio:
1- Volver a la página de la noticia.
2- Observar con detalle el banner superior derecha, patrocinador del blog.
3- Valorar el riesgo real de la terrible vulnerabilidad.
#15 En realidad también le afectaba pero sacaron un parche para el S4.
#15 Eres bueno fratre
Excelentes reflejos
¿Alguien se ha leído la noticia completa? Lo digo porque no basta con instalar una app desde fuera del Google Play, a parte hay que ponerla como app del sistema, lo cual hay que hacerlo manualmente...
"podría llegarse a conseguir control root del dispositivo si el paquete ha sido instalada como app de sistema por el fabricante o cocinero de ROMs"
Ojo, que no defiendo nada, la vulnerabilidad sigue ahí, pero vamos que tampoco es algo.....
Lo de siempre. Una vulnerabilidad que sólo afecta a los que instalan aplicaciones de fuera de la tienda.
Pero es que esto es de risa. Hace que el móvil se crea que está firmada una app que no lo está. Pero es que si estás descargando de fuera de la tienda, ¿qué más da que la app no esté firmada?
#6 Mucho, la firma se supone que la valida en la tienda oficial o donde demonios quiera que esté... que hay que explicartelo todo.
¿Febrero? ¿Y aún no hay parche ni en los Nexus? Y encima un dispositivo no Nexus se libra antes que éstos
Joder con Google, luego nos quejábamos de Microsoft.
#1 Es evidente que la vulnerabilidad es intencionada.
#2 Hombre, eso es mucho decir, como para no explicar por qué crees eso.
#1 Tampoco nos pasemos, una cosa es un muro con un agujero por dónde pasa un tren y lo otro es darle una piedra al usuario y llamar a eso "muro".
#1 Existe el Samsung Galaxy S4 Nexus, por si no lo sabes.
http://www.xataka.com/moviles/google-convierte-al-samsung-galaxy-s4-en-un-telefono-nexus
La noticia-refrito de Xataka es una puñetera mierda.
#22 No, no existe ningún "Galaxy S4 Nexus". Existe un S4 "Google Edition" que acaba de salir a la venta sólo en USA la semana pasada. No te fies de nada de lo que escribe Xataka.
#43 http://www.pcworldenespanol.com/201305288323/noticias/telefonos/galaxy-s4-nexus-no-estara-disponible-fue-de-eeuu-por-ahora.html
#45 En realidad, creo que no hay nomenclatura oficial. Lo de "Google Edition" es porque así se le llamó cuando fue presentado por Google, pero en Google Play se vende sólo como "Samsung Galaxy S4". https://play.google.com/store/devices/details?id=samsung_galaxy_s4
#45 Fijate en las comillas en "Nexus", ese no es su nombre de verdad. #55 Te lo explica muy bien.
#55 Tambien he encontado esto: https://play.google.com/store/devices/details?id=samsung_galaxy_s4
O errata o se han fumado algo
#64 Has puesto el mismo enlace que yo. No sé a qué te refieres...
#65 Pues que pone samsung galaxy s4 no disponible en tu pais. no que va , a eso me refiero
#66 Porque la versión que vende Google no está disponible en España.
#67 Ya, si eso sera correcto ademas abajo pone que solo es para AT&T y T-mobile pero no me has entendido. En la pagina pone samsung galaxy s4 y ese si que esta disponible en españa, es una errata al no especificar modelo. ves ahora lo que te queria decir?
#69 Sí, pero es que Google no vende el Samsung Galaxy S4 "normal". No es una errata: ese teléfono, en esa tienda, no está disponible en España. Si quieres comprar el Galaxy S4 en España tiene que ser la versión "normal" y en otra tienda.
#70 Vale, pues entonces estamos en lo que te comento. google no vende el galaxy normal, bien, pues que pongan samsung galaxy s4 con la coletilla que sea, y eso no lo ponen.
#71 Es relativo. El móvil es el mismo, sólo cambia su software. Movistar también personaliza los móviles que vende, pero no les llama "Movistar Edition".
#43 #51 Es Google el que lo llama "Nexus Experience", no yo. Si queréis discutirlo con ellos...
Y por encima de eso, el nombre comercial que se le dé no tiene importancia alguna, todos sabemos lo que significa.
#51 ¿Eres así de corto o te estás esforzando? Porque chico, para ser tan sabihondillo no aciertas una, sólo te dedicas a pecar de lo mismo que acusas.
De entrada deberías empezar por leer tu propio enlace, que no contradice en nada mi aclaración.
Además tu párrafo sobre las actualizaciones es falso. Los servidores y retoques de interfaz los pone Samsung, pero las actualizaciones las impone Google. Léete tu enlace entero, melón, que no lo has hecho.
Y tu párrafo sobre el bug directamente no tiene sentido. No sólo te inventas una imposibilidad sin base, es que ni siquiera distingues entre desarrollo y lanzamiento, lo cual requiere un preocupante grado de diarrea mental.
Por si no lo sabes, que es evidente que no. Pero tú di que si, que los que no tienen ni idea son los demás.
Por encima de todo eso, nada de lo que dices tiene que ver con mi comentario al que respondes. Para fardar de sabihondez podrías haber citado a cualquier otro, aunque lamentablemente la habrías cagado igual (inconvenientes de ser tonto del bote).
Por último, el remate del descojone ha sido tu paranoia del tono. O sea, que respondes de la forma más borde que puedes y cínicamente me acusas de ello a mí, que no lo había hecho. Pues disfruta, chaval, porque siempre respondo en el mismo tono en que se dirigen a mí, así que ahora sí lo estoy haciendo. Y si tú eres un pobre paranoico o una niñita con piel de algodón es obvio que el problema lo tienes tú, no yo.
#22 No me gusta ese tono que empleas al contestar ("por si no lo sabes"), sobre todo cuando no tienes mucha idea de lo que hablas.
No, no existe ningún Galaxy S4 Nexus, existe un Samsung Galaxy S4 Google Play Edition ("por si no lo sabes").
Y este S4, aunque no lleve TouchWiz, y tenga Android puro (se supone), el mantenimiento del software y las actualizaciones corren a cargo de Samsung, y no de Google ("por si no lo sabes"): http://www.elandroidelibre.com/2013/06/google-no-actualizara-los-google-play-editions-se-encargaran-los-fabricantes.html
Así que no tiene nada que ver con un Nexus. Y a lo que iba en #1. Si es verdad que el S4 no tiene este bug, significa que un fabricante, Samsung, lo ha corregido antes que la propia Google en sus teléfonos, los Nexus de verdad. Y eso no tiene ningún sentido.
("por si no lo sabes")
¡Anda! Así que afecta a todos los sistemas operativos Android, meeenos al del movil que patrocina este blog. Claro.
http://abload.de/img/guti_cuentame_mas_o3qiv.jpg
sabeis que las webs del ministerio de eduaccaion por ejemplo trabajan sobre https pero no tienen un certificado firmado, por lo que te dice que no es valido(cuando te quieres hacer una beca por ejemplo).
Esto es una cuestion de certificados... Cuando te dice que no puedes instalar una app de fuera de play store si no habilitas las opciones de desarrollador... que son dos clicks, pues se omitiria al tener un certificado tomado prestado o suplantado de otra aplicacion(realmente es una firma sin mas).
Creo que la preocupacion y el peligro de esto es... 0.
Solo hay que saber de donde te bajas tus programas para android, y si te lo bajas de fuera pues saber que te lo estas bajando de quien dice ser y fiarte de el.
Lo del ministerio lo comento porque basicamente lo que impedimos es que nos salga el mensaje de que no podemos instalar la aplicacion(o acceder a la web en ese caso), practicamente todos los usuarios le van a dar a, ok, entra de todas formas. Y es que hasta instituciones publicas importantes no se preocupan de la seguridad...
#25 El certificado de la web del Ministerio de Educación por supuesto que sí está firmado, por una Autoridad de Certificación (la FNMT), como los de todas las Administraciones Públicas.
El error en esta y otras webs de las AAPP se produce porque los navegadores no llevan instalados por defecto el certificado raíz de la FNMT y el certificado de las autoridades de certificación intermedias, necesarios para establecer la cadena de certificación. Es un problema del navegador, no de la web ni del certificado.
Te puedes descargar esos certificados de la web de la FNMT e instalarlos en tus navegadores:
http://www.cert.fnmt.es/index.php?cha=adm&sec=23&page=227
#28 gracias, bueno claro pero si yo me creo un certificado y mi entidad certificadora es un servidor casero tambien voy a tener ese problema.
El problema yo creia que era que la entidad certificadora no esta en el circulo de entidades certificadoras "oficiales", quiero decir, ¿para entrar en la web de ministerio frances tienes que descargarte los certificados de una web francesa o el navegador ya los reconoce?
pero aun asi gracias por corregirme porque efectivamente lo que dije no era verdad. Lo que no se realmente es como puede entrar la entidad certificadora que usa el ministerio en las que vienen con los navegadores, pero si tuenti. com tiene un certificado que reconoce cualquier navegador no se porque el ministerio de educacion no va a tenerlo.. Yo entiendo que deberia de tener certificados o copias de estos en otra entidad certificadora de las que estan sirviendo certificados a todo el mundo.
#31 "gracias, bueno claro pero si yo me creo un certificado y mi entidad certificadora es un servidor casero tambien voy a tener ese problema."
Claro, eso sería un certificado de servidor autofirmado y nadie te lo iba a reconocer. Si quieres que te lo reconozcan fuera de tu red tienes que tener un certificado de servidor firmado por una autoridad de certificación. Pero es que eso cuesta dinero. Pero sí que serviría para tu red particular.
El problema yo creia que era que la entidad certificadora no esta en el circulo de entidades certificadoras "oficiales", quiero decir, ¿para entrar en la web de ministerio frances tienes que descargarte los certificados de una web francesa o el navegador ya los reconoce?
La FNMT (Fábrica Nacional de Moneda y Timbre) imprime los euros, entre otras cosillas, así que "oficial" sí que es . El problema es que los navegadores vienen con una serie de certificados raíz, entre los cuales no están los de la FNMT. ¿Por qué? Quizá porque es un certificado "menor", y somos un país "menor", y Microsoft, Google, etc "pasan" de nosotros. Y que, como digo, el tema de los certificados mueve mucho dinero. Quizá es que no queremos pagar lo suficiente para que nos incluyan.
"Lo que no se realmente es como puede entrar la entidad certificadora que usa el ministerio en las que vienen con los navegadores, pero si tuenti. com tiene un certificado que reconoce cualquier navegador no se porque el ministerio de educacion no va a tenerlo.. Yo entiendo que deberia de tener certificados o copias de estos en otra entidad certificadora de las que estan sirviendo certificados a todo el mundo."
Tuenti usa un certificado de los que sí vienen por defecto en los navegadores. Por el que ha pagado un buen dinero. Resumiendo, el problema, es que las AAPP tienen, o bien que "convencer" a Microsoft, Google, etc para que incluyan su certificado raíz en sus navegadores, o bien pagar un auténtico pastizal comprando certificados a empresas de certificación extranjeras para cada servidor web, sede electrónica, etc. En España se hace un uso muy intensivo de la certificación a nivel de las AAPP, piensa en el DNI electrónico, por ejemplo, aunque eso sería otra historia...
Luego, aparte del dinero está el tema de la confidencialidad y la seguridad. El DNIe está certificado por la Policía, no por Thawte o por otra empresa privada con puerta trasera para la NSA incluida.
#37
Firefox no incluye el certificado raíz de la FNMT y de la policía por dejadez de nuestras AAPP:
https://bugzilla.mozilla.org/show_bug.cgi?id=435736
https://bugzilla.mozilla.org/show_bug.cgi?id=295474
https://www.mozilla.org/projects/security/certs/pending/
El CATCert ya ha sido incluido y el de la FNMT ha habido movimientos este año, por lo visto han hecho cambios en la jerarquía y cuando se hayan hecho dichos cambios enviarán los certificados a Mozilla para que los incluya en Firefox.
Lo cojonudo es que los de la policía que son los del dni-e no están ni pendientes. Así que si te haces un certificado firmándolo con tu DNI-e, no será reconocido, pero si te firmas uno con un certificado de la FNMT entonces sí, así que te puedes montar un sitio web y colocar un certificado firmado por ti mediante el certificado de la FNMT. Eso sí, aparecerán tu nombre, apellidos y DNI en la información de identidad de la web.
#31 Luego hay otro factor importante que no he comentado y es que en España somos más chulos que nadie y nos hemos montado una infraestructura a base de DNI electrónico, etc, totalmente desmesurada y muy poco utilizada por el ciudadano. He mirado la web de la Agencia Tributaria francesa, y usan un certificado raíz de Equifax. Y para entrar se usa usuario y password (que se puede obtener online a partir de los datos fiscales), no un certificado electrónico o DNIe como aquí...
https://cfspart.impots.gouv.fr/LoginMDP?op=c&url=aHR0cHM6Ly9jZnNwYXJ0LmltcG90cy5nb3V2LmZyL3BvcnRhbC9kZ2kvcHVibGljL3BlcnNvP3BhZ2VJZD1wbmEycGFyJnNmaWQ9MzA=
#41 claro es que ami me parecia que lo normal era pasar por las autoridades certificadoras que estan ya como "oficiales". Basicamente porque lo que consiguen es que el usuario comun piense que los certificados firmados no valen de nada ya que si para entrar al ministerio tienen que darle a entrar de todos modos/añadir certificado con riesgo/etc... Pues luego lo haran en otras webs si lo han hecho con la del ministerio.
Pero bueno teniendo en cuenta lo del dni supongo que es mas complicado de lo que parece.
Yo esos mensajes me los encontre por ejemplo para solicitar una beca. Tampoco estaria mal unas pequeñas instrucciones bien visibles y entendibles de como añadir el certificado, pero creo que no es lo idoneo. Si no se puede meter como entidad certificadora(oficial o como se llame, no se donde ni quien decide eso, segun comentas los propios navegadores deciden cuales meten pero creo que habra algun control mas centralizado).
Yo es que desde certificados llego hasta la entidad certificadora porque los que he hecho son autofirmados porque no son gratis... jajaja.
Gracias por la informacion extra y por tu tiempo!.
#41 aquí Equifax gestiona el fichero de morosos Asnef. No me haría gracia que además tuviesen los datos de becas solicitadas o de otras solicitudes oficiales, lo acabarían vendiendo todo a los bancos o al mejor postor.
#50 esos datos creo que ya son publicos. Alguna vez busque mi nombre en google y me sale una beca. No se a cuento de que porque sale nombre y dni ademas de que beca se solicita y demas, a disposicion de cualquier persona del mundo con acceso a internet.
#47 he estado dandole vueltas, y entendi en principio lo mismo que tu(y lo comente).
Pero no se si se refiere a que el sistema operativo identifica a programas y permisos por medio de las firmas, y si puedes suplantar a un programa con control total presentandote como un programa sencillo sin apenas permisos pues eso si que es grabe.
La verdad es que no se como funciona lo de los permisos en android a ese nivel... Asi que solo especulo (pero dandole vueltas a lo que decia el articulo pienso que igual iba por ahi.)
#56 una cosa es que sean públicos y otra que una empresa cree una base de datos que facilite su consulta, y los agrupe con otros datos confidenciales para hacer minería de datos y vender a los bancos la información sin tu consentimiento.
Imagina que te incrementan el tipo de interés de un préstamo personal para pagar la matrícula de la universidad porque a pesar de no tener deudas, saben que te han rechazado la beca y no te queda otro remedio que tragar con lo que sea.
Entre esto, y el otro día ponerme al día de los precios de los móviles chulos (http://www.xatakamovil.com/movistar/comparativa-precios-lumia-925-galaxy-s4-htc-one-xperia-z-iphone-5-y-otros-gama-alta-en-julio-de-2013) y ver que más a menos todos rondan la misma linea, ya no me va a dar vergüenza decir en Meneame que tengo un iPhone 4 y que estoy contento con el.
¡¡Atención!! ¡¡Peligro!! ¡¡Supervulnerabilidad!!
Si te bajas e instalas una aplicación que te pasa un simpático desconocido y le das acceso a tu sistema, ¡¡podría tener acceso a tu sistema!!
Una vulnerabilidad que no lo es tanto.
O no he entendido la vulnerabilidad o la noticia se pasa de sensacionalismo...
Hasta donde yo sé para publicar una app en el market y que google la acepte tiene que ser firmada por el desarrollador. Lo que entindo que se puede hacer gracias a esta vulnerabilidad es modificar una app y que conserve la firma original no?
Si es así, haría falta comprometer la cuenta de un desarrollador y suplantar su app por otra con código malicioso de manera que google aceptaría la actualización ya que seguiría conservando la firma original.
Lo de instalar apps fuera del market claro que es peligroso, cualquiera puede modificarla y colarte un regalito...
He dicho que tengo un iPhone desos, no?
Para ver el Facebook, Menéame y el Youtube uso Linux, que yo soy mucho del Software Libre Re-que-te-LooL
¡Aaay...! Y lo feliz que estoy con mi Symbian de toda la vida...
Me gusta samsung, pero esto huele a spam
me he explicado un poco mal, a ver en principio el articulo habla de que se sustituya una aplicacion con derechos de root por otra engañando al usuario por su firma(osea si yo crease una aplicacion que se llamase googleplay con sus iconos y demas, copiase la firma de esa aplicacion, y tu la instalases pensando que es googleplay), y no te pediria la confirmacion que te pide cuando instalas algo sin firmar.
Lo que dice el autor del articulo es super enrevesado no es realista.
Conclusion mia, esto no afectará al usuario, y la solucion es la de siempre, saber de donde te bajas las aplicaciones, y si le quieres dar los permisos que le vas a dar.
Google tiene que buscar una firma que no pueda ser duplicada porque es un fallo grabe pero las firmas son para lo que son, para comprobar que el archivo que te has bajado es el que es. Y hoy en dia si te lo bajas de googleplay el dispositivo es el que comprueba eso, y si te lo bajas de fuera de googleplay no tienes manera que yo sepa de comprobar la firma con la de su autor.(vamos, que le tienes que dar a la casilla de instalar cosas de fuera del market).
#30 buscar una firma que no pueda ser duplicada porque es un fallo grabe
Perdona el ortografonazismo pero es que este error recursivo me ha robado el corazón
Estadísticamente las vulnerabilidades descubiertas en software libre son menos. El software privativo tiene mayor cantidad de vulnerabilidades y se mantienen abiertas por más tiempo.
Por otra parte esta vulnerabilidad es una tontería: una aplicación con permisos de root firma ejecutables para que el sistema al comprobar la firma vea que sigue siendo válida.
Basta con comprobar que la firma sigue siendo la misma desde la última vez que se comprobó, y mantener seguro ese historial de comprobaciones con criptografía.
#68 Bueno, si nos vamos a la fuente dice "The Bluebox Security research team recently discovered a vulnerability..." en una entrada del 3 de Julio (http://bluebox.com/category/corporate-blog/). Si bien el término "recientemente" es subjetivo, no creo que sean "varios años" como dices.
Y tu más... PPSOE, Android-iOS
Que un terminal como Galaxy S4 sea inmune no será fruto del azar y podemos intuir que hay una solución vía parche de seguridad de camino, pero ahora, más que nunca te invitamos a ceñirte exclusivamente a instalar APKs de la tienda de aplicaciones Google hasta que se aclare el tema.
Claro, conciso y riguroso artículo. Yo a esto le doy la credibilidad que merece.
¿Y por qué al S4 no le afecta?
#21 ¿marketing?
#21 Porque sus dueños son guays.
Un poco más de info: ¿En qué consiste la vulnerabilidad de Android y cómo podemos protegernos?
http://www.genbeta.com/seguridad/en-que-consiste-la-vulnerabilidad-de-android-y-como-podemos-protegernos
#59 Básicamente, la mejor forma de protegerse es... ¡no haciendo nada!
Si no has hecho nada, tu Android vendrá con la opción de permitir apps de fuera de Google Play desactivada de serie. Oh, sorpresa.
#60 ojo con los Android personalizados por operadora. A veces llevan tiendas de apps ajenas a Google Play preinstaladas, y desactivan la protección por defecto.
#62 Tienes razón. De todas formas, sigue siendo necesario meterte en markets o páginas alternativas (porque en Samsung Apps o en la hipotética tienda de una operadora tampoco va a haber problemas). Creo que se está haciendo una montaña de una vulnerabilidad que afecta a un porcentaje muy pequeño de gente.
se imaginaba desde hace milenios, y encima tenlo sin updatear x D
Tranquilos, ahora revisarán el código, solucionarán la vulnerabilidad, y android será más seguro.
Nada nuevo.
lo siento por mi ignorancia...pero alguien me podría explicar lo que significa "vulnerabilidad" en este contexto? pueden saber lo que me descargo y esas cosas? gracias!
#27 Es una vulnerabilidad grave si instalas cualquier cosa que te encuentras por internet sin mirar su procedencia en vez de usar el market u otros repositorios o webs medianamente confiables. Vamos que es igual que si lo haces en Windows o en Linux con permisos de administrador, pero aquí tienen que saberse el fallo y meter el troyano especifico en la "aplicación" que pongan por las webs para que piques.
Zero day attack, alguien se lo va a pasar muy bien. La gente no es muy dada a actualizar su SO movil.
Como era lo que decian los odiadores de Microsoft?
"Los sistemas operativos libres son mucho mas seguros"
"En los sistemas operativos libres los errores se corrigen mucho antes"
4 años sin arreglar lleva esta vulnerabilidad por lo visto.
Y la solucion de "no instalar cosas fuera de Google play" es patetica, porque precisamente ese es el argumento que usan los de android para atacar Apple o a Windows Phone.
#4 Es que la vulnerabilidad la acaban de descubrir ahora. No es que lleven 4 años pasando de ella.
Y sí, los sistemas operativos libres son más seguros por el mero hecho de que este tipo de cosas son públicas ya que cualquiera puede trastear con el código y descubrir este tipo de cosas. Además, si google no se pone las pilas, cualquiera con los conocimientos necesarios (será por ROM's diferentes...) puede sacar un parche. En cambio en los sistemas operativos propietarios no puede hacer uno nada hasta que a la marca le parezca. Eso sin tener en cuenta que la mayoría de estos bugs no los dan a conocer, básicamente por imagen. ¿O te crees que las actualizaciones de Windows son para mejorar los tipos de letra? Si te miras lo que arreglan, muchas de ellas ponen "un atacante podría tomar control del ordenador de forma remota..." o cosas parecidas. Lo que pasa es que estamos tan acostumbrados que no nos damos ni cuenta.
#4 Te iba a responder, pero veo que #5 y #9 ya te lo han resumido. Así que solo decirte que parece que no te enteras de la misa la media.
#5 Quieres decir que cualquiera (con conocimientos suficientes) puede (otra cosa es que lo haga) trastear con el código y descubrirlas... otra cosa es hacerlas públicas y corregirlas en lugar de explotarlas... ah, que no era eso lo que decías...
#5 Eso de que no se conocen las vulnerabilidades es mucho decir y una leyenda urbana, teniendo en cuenta que uno de los que más vulnerabilidades reporta de Windows es la propia Google y los hace públicos (hace unos meses reportó 32 de 57 fallos de uno de los patch tuesdays) http://www.geektopia.es/es/technology/2013/02/13/noticias/del-ultimo-parche-de-seguridad-para-productos-microsoft-32-de-57-fallos-corregidos-fueron-encontrados-por-google.html
No te dicen cómo explotar los fallos, pero sí que te dicen de qué van (y si buscas un poco más, encontrarás también cómo reproducirlos) http://technet.microsoft.com/en-us/security/bulletin/ms13-feb
#39 No es una leyenda urbana, es una realidad. Te lo digo porque yo he trabajado en ambos entornos (libre y cerrado) y es algo que canta de lejos.
En un código libre basado en repositorio de código (vamos, todos), no tienes más remedio que ir publicando uno a uno todos tus fallos de seguridad para poder corregirlos. La misma aplicación del parche, en última instancia, deja constancia de que había un fallo de seguridad. Todo el mundo tiene acceso al código para poder revisarlo. Todo el mundo tiene acceso al listado de bugs para confirmar/parchear.
En un código cerrado, sólo vas a tener constancia de los bugs que o bien terceras partes (Google como mencionas) decidan hacer públicos o bien ellos mismos decidan avisar. Del resto de bugs (los que por ejemplo aún no han sido "descubiertos" pero son obvios en el código, los FIXME, los TODO, los que son tan graves que prefieren no avisar hasta que esté el parche, etc...) sólo vas a tener constancia de ellos cuando salga el parche y si deciden hacer un parche de seguridad independiente (no sería la primera vez que se "empaquetan" más de un bug en el mismo parche para que parezcan menos).
Además, que un código libre suele ser más rápido de arreglar los errores, simplemente porque cualquiera puede enviar el parche para que se lo validen. En un código cerrado sólo el personal de la empresa puede parchear bugs. No hay más que ver los tiempos de respuesta en bugs críticos desde que el bug "se sabe" (que no necesariamente se publica) hasta que se corrige.
#53 hombre si nos ponemos tiquismiquis, si tu como tu aplicacion es de codigo libre vas recalcando las vulnerabilidades para que se parcheen y solventen, tambien pueden usarse con fines malintencionados...
Igual una empresa privada que sabe que las tiene, pero no las dice, y dispone de personal fijo acaba parcheandolas antes de que nadie sea capaz de usarlas.
No digo que sea asi eh pero seguro que algun caso habrá de lo uno como de lo otro, en ese sentido no creo que uno sea mejor que otro, salvando el tema de que en el codigo abierto puedes ver lo que hace el programa, y se pueden descubrir robos de informacion de haberlos (cosa que con los privados muchas veces solo se puede intuir en base a snifers sin saber que estan mandando).
Pero a nivel de vulnerabilidades yo creo que el que tenga a mas gente con mejor preparacion para solventarlas sera el mas seguro, esto puede tenerlo el que paga o la comunidad libre si el proyecto interesa... No creo que sea blanco o negro.
#5 Que la hayan sacado a la luz ahora no quiere decir que la hayan descubierto ahora. A lo mejor llevan varios años explotándola sin decir nada.
#4 En Android puedes instalar cosas fuera de la tienda de Google que siguen siendo seguras, como la tienda de Amazon, la de Nvidia, la de Sony etc etc.
#7 La única manera en la que alguien puede sentirse seguro con software de código cerrado es que ese alguien sea el creador mismo. Muchísimo más seguro que cualquiera de esas opciones (y muchísimo más seguro que Google Play, la cual distribuye binarios a ciegas) es http://fdroid.org
#4 Y la solucion de "no instalar cosas fuera de Google play" es patetica, porque precisamente ese es el argumento que usan los de android para atacar Apple o a Windows Phone.
No a ver, una de las principales ventajas de Android sobre iOS o WP8 es que Android te permite una personalización inmensamente mayor, con launchers, widgets, temas... apps que cambian radicalmente la interfaz. Y todo eso se puede hacer sin necesidad de instalar ni una sola app de fuera de la tienda.
Lo que dices no tiene sentido, entre otras cosas, porque en iOS también existe el jailbreak y Cydia. La idea es que Android te permite hacer más sin necesidad de rootear ni nada de eso.
#4 que el SL sea más seguro no significa que sea invulnerable o perfecto.
#4 ¿Te recuerdo lo del SMS de la muerte de tu flamante Windows Phone? http://nakedsecurity.sophos.com/2011/12/14/windows-phone-7-5-susceptible-to-sms-hack/