Portada
Hace 6 años | Por Remenad0r a cloak-and-dagger.org
Publicado hace 6 años por Remenad0r a cloak-and-dagger.org
"Cloak and Dagger": Nuevo ataque a dispositivos Android [EN]

"Cloak and Dagger": Nuevo ataque a dispositivos Android [EN]

 cloak-and-dagger.org

Cloak & Dagger son una nueva clase de posibles ataques que afectan a los dispositivos Android. Estos ataques permiten a una aplicación malintencionada controlar completamente el bucle de retroalimentación de la interfaz de usuario asumiendo el control del dispositivo, sin dar al usuario la oportunidad de notar la actividad maliciosa. Estos ataques sólo requieren dos permisos que, en caso de que la aplicación se instale desde la Play Store, el usuario no necesita conceder explícitamente y por lo que ni siquiera se le notifica.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2.3k 36

Comentarios

R
autor

Detalle importante en la sección de 'revelación'.

May 19th, 2017 — The a11y team confirms the a11y-related issues we reported as "won't fix".

Hacen bien en publicarlo pues.

V 8
K 79
Zade

#1 Verás como ahora lo ponen como "blocker"

V 1
K 15
M

#1 ultimamente las empresas son muy dadas a marcar las vulnerabilidades como "wont fix". No puedes hacer disclosure porque el programa de bugbounty lo prohibe, y de repente... en la siguiente version aparece solucionado

V 2
K 8
O

La gravísima vulnerabilidad es reportada hace un año, y Google sigue dando largas. Les hacen el trabajo gratis y lo desprecian.
La Play Store se está convirtiendo en un lodazal donde instalar una app cualquiera puede comprometer tu seguridad.
Deberían aparecer TODOS los permisos que va a necesitar una app antes de instalarse, y luego que cada cual asuma los riesgos.

V 9
K 60
mangrar_2

#6 pero eso es porque los clientes lo quieren así, no quieren que sea como la App Store de Apple. Yo prefiero que google haga como apple, porque total, en android puedes instalar software desde fuera de la tienda. En fin, es otra de las razones por las que me pasé a iOS.

V 0
K 10
D

#6 Lo mejor de todo es cuando una app cambia de dueños, y en la siguiente actualización se convierte en malware que te comes con patatas. Es otro problema gravísimo, por el que poco, o nada, se hace.

V 2
K 20
eldelshell

#6 a Google el core de Android se las sopla ya con Fuchsia en camino de reemplazarlo. No sé como ira el tema, pero esto demuestra el desencanto de Google con Android tal y como lo conocemos.

V 0
K 9
A

Un virus de verdad es la tienda de apps de Amazon. Empezó siendo una cosa con un tamaño contenido. Luego le cambiaron el nombre a Amazon Undergraund y te incluía toda la tienda de Amazon.

El otro día me empezó a desaparecer memoria de almacenamiento interno del dispositivo a lo bestia y yo como loco intentando averiguar qué pasaba. Pensaba que tenía un virus.

Descubrí con la app DiskUsage una carpeta llamada apk llena de apks. Resulta que la tienda de Amazon se estaba intentando actualizar y descargaba por su cuenta la actualización. Luego preguntaba si querías actualizarla. Yo siempre le decía que no. Luego volvia a bajarse la actualización y a preguntar. Así cada vez se comía 44 MB. Guardaba cada vez una apk con un nombre en función de la fecha y hora y no borraba la anterior.

Al final la actualicé, pero resulta que si inicias sesión te engulle directamente 108 megas de memoria interna del dispositivo. Da igual que la pases a la SD. ¿Par qué narices quiere 108M de almacenamiento del dispositivo?. Lo dicho, un virus.

V 6
K 42
ewok

#32 Sí, es verdad . Pero lo puse así para hacer ver que también es una frase hecha.

V 2
K 40
D

Pedazo feature.

V 2
K 28
Wayfarer
editado

Ay, qué recuerdos de los tiempos cuando el "Cloak & Dagger" era sólo un videojuego de Atari...

📷

comment_22214211 media
V 3
K 25
ewok

#4 ... "Capa y espada" seguro que era muchas más cosas.
Por ejemplo, un verso de "Love Minus Zero" de Bob Dylan:
The cloak and dagger dangles, madams light the candles

V 2
K 41
D

#7 Capa y espada daga (o puñal)

V 1
K 28
Esfingo

#4 para mi siempre han sido unos superheroes de Marvel

comment_22214555 media
V 6
K 42
sandra67

#4 también es un cómic de Marvel...

V 1
K 19
thorin
editado

#13 Por si no lo sabes LineageOS es la continuación de CyanogenMod, después de que la marca cerrase. Sólo cambia el nombre.
Igual te conviene probar esta aplicación, que ha salido hace poco y debe de ayudar a instalar fácilmente ROMs oficiales y no oficiales en móviles Xiaomi: https://forum.xda-developers.com/mi-5/how-to/tool-xiaomitool-xiaomi-rom-changing-easy-t3627081

V 2
K 25
D

#15 Creo que tiene aún mas alcance de terminales que Cyanogen, al menos en los antiguos. Es la impresión que me dió la ultima vez que lo miré. Y creo que son equipos diferentes, aunque habrá bastantes integrantes comunes (el 20% de la plantilla que despidieron al menos). La historia tiene su miga:

https://www.movilzona.es/2017/01/15/actualidad-rom-de-cyanogenmod-a-lineage-os-historia-de-la-rom-android-mas-famosa/

V 0
K 7
Candidatas
11
meneos
tecnología La Audiencia Nacional de España niega a EEUU una extradición por uno de los mayores ciberataques de la historia: Conficker
13
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
9
meneos
tecnología Sólo hay que añadir agua: Crea tus propios muebles con estos diseños de esponjas emergentes (ENG)
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
9
meneos
tecnología La Mega Drive llega a España
25
meneos
tecnología musicForProgramming ();
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
9
meneos
tecnología La razón por las que los usuarios de Android pronto van a tener siempre encendido el Bluetooth
5
meneos
tecnología Investigadores de HKU Engineering descubren la clave para lograr células solares orgánicas eficientes y estables (eng)
6
meneos
tecnología Black Basta, el principal sospechoso en el ciberataque a Ayesa
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
5
meneos
tecnología Minoristas se quejan de Intel: "Los Core 14 son un desastre"
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
D

Pero si Linux es invulnerable!

V 1
K 20
D

#14 Igual si los fabricantes de móviles y Google no se hubiesen montado este desastre de no poder instalar el SO que a mi me de la gana en cualquier móvil sin depender de ellos para actualizar no tendríamos estos problemas que en Linux para PC simplemente no existen o se solventan en cuestión de MINUTOS.

V 0
K 6
D

#27 claro claro. Se me olvidaba que Linux es divino

V 1
K 3
W

#14 ¿Es que no has leído ni la entradilla? Es un fallo en el código de la interfaz de usuario, no del kernel.

V 0
K 9
D

#31 vaya, así que a través de la interfaz de usuario puedes tocar cosas del kernel? Vaya una mierda de aislamiento

V 0
K 9
W

#33 No, pero puedes realizar acciones como instalar otras aplicaciones o interceptar lo que escribe el usuario.

El kernel se encarga de cosas más cercanas al hardware y por defecto el acceso root viene deshabilitado.

V 0
K 9
E

#14 El sistema de permisos de Android es completamente propio y no tiene nada que ver con Linux ni con las distros ni con GNU.

El código que ejecuta la interfaz de usuario, todas las librerías java e incluso C son propios y exclusivas de Android.

Incluso varios demonios del sistema, aún teniendo alternativas de GNU o de las distribuciones, optan por implementaciones propias, menos pesadas o adaptadas al interés de Google.

Todos los que salís con es tontería cada vez que se anuncia una vulnerabilidad de Android deberíais saber el ridículo que hacéis. Tanto Linux como los programas habituales de las distribuciones tienen sus problemas de seguridad. Pero no vienen a cuento aquí ni se pueden contabilizar de la misma manera.

Android demuestra la utilidad y aumenta la cuota de uso de Linux, pero no afecta ni refleja la seguridad de ningún otro sistema operativo basado en Linux.

V 0
K 6
YizusKraist

No entiendo esa adicción a instalar boludeces en el Android, y menos en el celular que lo más incómodo que puede haber para casi cualquier cosa.

V 1
K 11
ann_pe

La solución para esto es no instalar aplicaciones maliciosas, no tiene la misma gravedad que el bug de libstagefright que era explotable enviando un simple mensaje.

V 0
K 10
D

#23 Con lo fácil que es configurar el sistema para evitar este problema roll

comment_22216058 media
V 5
K 47
D
editado

A mi me da igual, yo le hecho XIAOMI....
y los chinos son muy terroritoriales, supongo que cuidaron eso
A lo tonto chinos ya se han "sacado"... desde mi huella dactilar, a os latidos de mi corazon con la Chocho mi Ban
Horarios de sueño..
Pasos.. localicion.. uy uyy uy
Hasta nosecuantos gigas en fotos que ha decido subir a la nube de "chochomi".... SIN que yo le diga nada.
Y no se ni como quitarlo
Tambien mis llamadas de telefono desde el dia que lo compre...
Mi esperanza y "poltica de seguridad" es que al bobierno chino no le interese mucho.. .
(y que chochomi no los venda) por lo demas inmejorable terminal y "versiond" Android

V 7
K -22
lecheygalletas

#5 tienes 5 años?

V 9
K 71
D

#9 5 y medio!

V 0
K 6
thorin

#5 Métele LineageOS.

V 2
K 21
D

#11 me suena ligeramente, lo busco! Pero tengo malas experiencias con intentar liarme a cambiar ROMS y que lo tuviera que rescatar my brotha lol
Aunque es brutal lo del espionage y si que me interesa cualquier solucion!

V 0
K 6
D

#11 ¡¡ tguau! es de este mes!!
Estoy! estoy leyendo el link a ver que fallos tiene por ahora y tratar de ver las diferencias
Como siempre, lo que preocupe es esto, pero vaya..
- Can my device get bricked?
yes, but with very small probability

Sigo curiosenado el link, por que mola que haya solucion a medio plazo para salir de la ROM oficial y el turboespionage! 😝 ¡hanks!

V 0
K 6
CoolCase

#5 Tu forma de escribir me recuerda a un tal "parpadeo ... no se que" que andaba por aquí hace poco que parecía que le estaba dando un ictus mientras posteaba.

V 3
K 36
e

#18 Quizá es un tipo de IA nueva que escribe en birmano y usa altavista para traducir los textos. Quién sabe. La verdad es que se hacen complicados de leer sus comentarios.

V 2
K 19
katinka_aäå

#18 Está fichado: Mariannet[darktdeSorosYa] y parpadeo1.[HamelinMinimalMeneGreatAgainTheTrumPodemitThePostPodemit]

V 3
K 22