Portada
Hace 13 años | Por algui91 a muyseguridad.net
Publicado hace 13 años por algui91 a muyseguridad.net
El 99% de los terminales Android podrían ser vulnerables a la sustracción de datos

El 99% de los terminales Android podrían ser vulnerables a la sustracción de datos

 muyseguridad.net

Un estudio elaborado por la universidad alemana de Ulm contempla un fallo por el que un intruso que se hiciera de forma local con cualquier smartphone gobernado por Android 2.3.3 o anterior podría acceder a cualquier dato o credencial privada almacenada en los terminales durante los últimos 14 días.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.9k 51

Comentarios

NoEresTuSoyYo
editado

Que no hombre... que al único al que le pasan cosas así son a los terminales de Apple -----> já .

V 10
K 116
D

#2 yo sólo te digo esto:
"ClientLogin, el cual genera un fichero en texto plano cuando el usuario se identifica en servicios como Google Calendar, Facebook o Twitter, que se conserva hasta 14 días para facilitar ese proceso."

Al parecer, Apple no es la única que guarda en un fichero datos personales durante un tiempo determinado. Me da igual que sean para iniciar sesión en Facebook, el hecho es que los guarda y aquí van 25 comentarios y nadie ha dicho nada sobre eso...

V 1
K 14
D

La vulnerabilidad está en el protocolo ClientLogin que usan algunas de las aplicaciones de Android, no en Android, también afecta a otras aplicaciones que lo usen que no tienen porque ser Android, en Google Apps se puede usar por ejemplo, con lo que si lo usas desde un portatil con wifi vas a tener el mismo problema. Eso sí como titular queda mejor poner Android que ClientLogin.

#28 ¿Y de dónde sacas que se guarda datos personales? Lo que se envía en texto plano es el token de autorización que no contiene ningún dato personal, simplemente es un número para identificar la sesión que está autorizada.

V 1
K 15
k
editado

#28
Researchers Bastian Könings, Jens Nickels, and Florian Schaub warned that the weaknesses could be used against people who use their Android devices on networks under the control of an attacker.

De aquí entiendo que el "juanker" tendría que crear un punto wifi no encriptado al que la víctima se conecte, que tendríá que tener la opción de "automatically sync device", de donde el juanker podríá capturar los authTokens que vienen en texto plano o no encriptado, y usar dichas credenciales para acceder a tus cuentas durante los 14 días que duran dichos tokens antes de expirar.

Así que no, me parece que Android no guarda ningun fichero en texto plano en el diapositivo con datos personales, simplemente que el protocolo envia sus tokens sin encriptar, por lo que se pueden capturar en "texto plano", y usarse de manera similar a las cookies de los navegadores.

V 0
K 6
D

La primera ley de seguridad informática dice que si hay acceso físico, no hay seguridad.

V 12
K 100
R

#11 Cierto, pero una cosa es robando el movil puedas acceder a la información contenida en el telefono y otra que puedas acceder a información almacenada en servicios online

V 0
K 6
D

#39 El teléfono es la llave para todos los servicios online. Si tienes el teléfono, tienes acceso a ellos. Quizás la solución sea pedir continuamente password para usarlos, pero ¿os imagináis estar continuamente identificándose para usar un smartphone? Pues no...

V 0
K 7
Vichejo

"Que se hiciera de forma local"? es la forma alemana para decir que te roban el móvil? porque en ese caso me creo el estudio

V 8
K 71
j

#6 Muy buena la observación!! Prodíamos podría deducir del estudio que la vulnerabilidad de Android, que el número de terminales afectados puede depender del índice de criminalidad de la región o pais de cada usuario! Ja

V 0
K 6
The_unforgiven_too
editado

#6 Se refiere a una red local, por ejemplo, en caso de que no tengas bien protegida la red wifi y alguien se colase.

El problema exactamente es que la cadena identificadora para servicios como Calendar o Contacts se manda en texto plano, por lo que si estás en la misma red que el móvil se puede captar y leer fácilmente. Después el atacante tiene 14 días como máximo en los que puede usar esa cadena para acceder a todos tus datos.

El principal problema de seguridad en este caso no es el bug en sí, sino la fragmentación de Android. Las operadoras actualizan cuando quieren sus dispositivos, y no todo el mundo usa custom ROMs. Seguro que muy pocos usuarios reciben la 2.3.4. Esto deja un agujero de seguridad grave para millones de dispositivos.

V 1
K 14
D

Esto es más serio de lo que parece, no todo el mundo está preparado para meterle una custom ROM a su movil, y encima las operadoras no sueltan las actualizaciones.

Esto demuestra que cuando algo se usa masivamente el indice de vulnerabilidad crece exponencialmente y como tal muchos mitos sobre ciertos sistemas operativos hay que empezar a descartarlos.

V 9
K 60
tokki

#15 Lo que es un cachondeo es que cada operadora/fabricante decida lanzar el OTA cuando le dé la gana. ¿Hay alguna forma de presionar a HTC/Samsung + Operadoras? Lo único que se me ocurre es pasarme a Nexus S

V 0
K 7
h

Por suerte hará un par de semanas que la CM7 se actualizó a la 2.3.4 http://www.cyanogenmod.com/

La mayoría de terminales son compatibles con esta rom, que os la recomiendo muchísimo. Eso sí, tendréis que entreteneros un rato para poderla instalar. La mejor manera de deshacerse de las "custom roms" de las operadoras.

V 4
K 41
PeiT

#22 pues va a ser que no.
Please note that this release is still based on Android 2.3.3

V 0
K 9
lindeloff

Dioss .. que miedito! Qué hago con mi N1 que NO SE ACTUALIZA VIA OTA ni a patadas!!
(gracias vodafone ...)

V 2
K 29
kaidohmaru

#3 Méteselo a mano. ¿No puedes? Yo llevo tiempo actualizando el Xperia a mano, pasando del SEUS

V 0
K 10
algui91
autor

#4 Y del Galaxy S Scl sabéis como se puede actualizar?? desde el mismo samsung KIES se supone no??

V 0
K 8
kaidohmaru
editado

#5 No lo se, la verdad. Mi madre tiene uno desde este mismo sábado y todavía no le he metido mano. Pasate por HtcMania y mira en la sección específica para tu móvil. O por x d a

V 0
K 10
algui91
autor

#7 OK, gracias, lo miraré

V 0
K 8
lindeloff

#4 Ya, pero no quiero perder la garantía. Que ya he tenido que cambiarlo por el dichoso Power boton, que se acaba jodiendo ...

V 0
K 11
bolony

#3 rootea el móvil.
Yo soy root y es lo mejor que he hecho

V 1
K 13
pawer13

#3 En la noticia hablan de que tienen que tener tu móvil, así que tranquilo, mientras no te lo roben :).
Te aconsejo que le borres la versión de Vodafone y le instales la versión "libre": http://developer.htc.com/ aquí están todas las imágenes de todas las versiones para los móviles de htc. Es lo que hice con mi N1 y tengo ya desde hace semanas la versión 2.3.4 instalada, aunque estoy por pasarme a la Cyanogenmod cualquier día de estos, ahora que -me parece- también se actualiza vía OTA.

#36 Realmente es nuevo, por eso no soporta multitarea, entre otras cosas. Lo han querido hacer casi desde cero para tener algo tecnológicamente nuevo y aún está algo verde, pero veremos cómo evoluciona.


#37 Google sacó el Nexus One con la versión 2.1. Luego los actualizó a la versión 2.2, 2.3 (versión de inicio del Nexus S)... no sé si se consideran versiones distintas o si las consideran actualizaciones. ¿Alguien sabe si se basan en 2.X o en 2.1.X para hablar de distintas ramas? Sé que de la 2.1 a la 2.2 hubo un buen salto en Dalvik, pero aun así no lo tengo muy claro.

V 0
K 6
D

#45 Entiendo que si le dan distintos nombres en clave son versiones mayores (eclair=2.1, froyo=2.2, ginger=2.3).

V 0
K 7
D

pero nada, que android es mejor y mas seguro que ios....

V 4
K 27
j

Recomiendo leer la noticia original en inglés. La traducción está hecha con muy mala baba y es sensacionalista.

V 2
K 23
e

Relacionada: google-reacciona-rapido-soluciona-agujeros-seguridad-android/

Hace 13 años | Por elgeneral250 a androtalk.blogspot.com
Publicado hace 13 años por elgeneral250 a androtalk.blogspot.com

Google reacciona rápido y soluciona los agujeros d...

 androtalk.blogspot.com

V 2
K 23
lemenyou

Y el 100% son vulnerables a la sustracción del terminal por parte de algún chorizo (y esta vez no estamos hablando de política)

V 2
K 22
baraja

Sensacionalista, cualquier dispositivo es vulnerable si accedes a él de forma local. Si alguien te coge el móvil, pues claro que podrá acceder a tus datos, vaya noticia.

V 1
K 18
tokki

Bueno, parece que Google va a hacer cambios en sus servidores para solucionar el problema, ya que distribuir parches por OTA sería demasiado lento:

http://blogs.computerworld.com/18308/google_android_security_flaw
"Today we're starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days."

V 1
K 16
D
editado

Muy bien, corregido en la 2.3.4, pero, ¿no piensan sacar el parche para las versiones 2.1 y 2.2? Los parches de seguridad, de toda la vida se han creado para todas las versiones afectadas, al menos las más recientes. Para eso existen las distintas ramas de desarrollo...

V 1
K 14
B

Por cierto, tambien tener en cuenta que dice que hace falta acceso local, con lo cual no los moviles con android, practicamente todos los moviles son vulnerables siguiendo la logica de esta noticia, este mismo mes se ha meneado esta noticia:

Un nuevo aparato que le permite a la policia robar toda la información guardada en un celular [ENG]

Hace 13 años | Por f35 a translogic.aolautos.com
Publicado hace 13 años por f35 a translogic.aolautos.com

Un nuevo aparato que le permite a la policia ...

 translogic.aolautos.com


No es por defender a Android, pero la verdad al entrar a la noticia me esperaba una vulnerabilidad real, no que si me roban el movil puedan sacar mis datos de el...

V 1
K 13
D

Directo a portada

V 1
K 13
algui91
autor

#9 Has dicho eso y se ha estancado en 13 lol

V 0
K 8
D

#12 Era ironía todos sabemos que los fallos de Android o Linux son los padres

V 1
K 12
Candidatas
30
meneos
actualidad "Desde el Río hasta el Mar" El doctor en Historia y especialista en la historia de Israel y Palestina, Jorge Ramos, explica el origen de este lema (acuñado por el Likud de Netanyahu)
36
meneos
ciencia Hallado un paso oculto en la evolución de las plumas de los dinosaurios
43
meneos
ciencia Descubren un exoplaneta potencialmente habitable y similar a la Tierra a solo 40 años luz de distancia
19
meneos
ocio Gallo rojo, gallo negro - Silvia Pérez Cruz
34
meneos
actualidad El impactante daño que el enojo le produce al cuerpo: cómo afecta al corazón, al estómago y al cerebro
22
meneos
actualidad Cómo la Dieta Estadounidense Estándar de la posguerra desembocó en la actual crisis de los alimentos ultrapocesados
52
meneos
actualidad El juez Peinado exige a la Policía copia del DNI de Begoña Gómez y miente al decir que está “investigada"
52
meneos
politica Luz verde a la base militar de Marruecos para controlar Melilla
27
meneos
actualidad La red eléctrica se está resintiendo, y no por los coches eléctricos: por la enorme demanda de inteligencia artificial
24
meneos
cultura Las obras de la nueva línea del metro de Roma bajo el Coliseo y el Foro entran en una fase crucial [ENG]
52
meneos
actualidad Autodenominados "guardias humanitarios", estos activistas israelíes llevan dos días protegiendo de los ataques de colonos extremistas a los camiones de ayuda con destino a Gaza
28
meneos
actualidad Rusia ataca a Starlink: el ejército ruso interfiere el Internet de Musk para incomunicar a Ucrania
16
meneos
actualidad Ebro desvela a nivel mundial el S700 y el S800, los dos SUV que fabricará en Barcelona este año
23
meneos
actualidad Los fantasiosos proyectos de ocio de García-Page sufragados con fondos europeos
16
meneos
actualidad Mike Johnson ondea en su despacho la misma bandera nacionalista cristiana que el juez del Tribunal Supremo Samuel Alito en su casa de vacaciones (eng)
23
meneos
actualidad Derrumbe en Playa de Palma: La investigación analiza los informes técnicos para saber si era ilegal
alexwing

Diréis que las operadoras son muy malas, pero Google lo permite, podría tener un sistema de actualizaciones mejor, con Windows Phone, Microsoft parece que dicta las reglas en ese aspecto, la ventaja de haber llegado tarde al mercado y tener olido "el percal".

V 0
K 11
B
editado

#30 Clarooo windows phone es super nuevo, no es una actualizacion de windows mobile igual que este lo era de windows CE ni nada...

Por cierto, he tenido un MPX200 que tenia que actualizar a mano y ahora tengo una S200 que tambien (HTC ofrecio una actualizacion solamente), ambos con windows mobile.

V 0
K 6
Jiraiya
editado

iOS: Ha ha. http://4.bp.blogspot.com/_WCsCM3dplNA/SYnQG_zhocI/AAAAAAAAAKM/Mpo2boVXUnA/s320/Misc-HaHa.gif

V 0
K 10
kaidohmaru

Los podría siempre escuecen..

V 0
K 10
D

#1 Hombre es un podría si se usara, pero si te lees el artículo original comprobaras que es un puede.

V 0
K 8
Hiawatha

Cómo ganar karma comentando en menéame si hay una:

- Noticia sobre agujero de seguridad en dispositivos Apple: "jaja que les jodan a los fanboys, que esos gilipollas se comprarían hasta un cartón si tuviera una manzana pintada".

- Noticia sobre agujero de seguridad en dispositivos Android: "está en portada porque tenemos que informar a la gente para que pueda subsanar el error descubierto".

V 0
K 9
D
editado

Lo de guardar las cosas en texto plano también lo hacen los de mensajería Pidgin, Emesene , Live MSN, Kopete, y programas de correo en Linux y Windows por defecto si no decides usar el gestor de contraseñas cifradas (Gnome-Keyring-Manager o Kwallet ) .

No se, lo veo sensacionalista. Si un sistema fisico es accesible, adiós seguridad aunque no sepan la contraseña de root ( Live CD/USB/ Montar el hd desde otro sistema operativo) Ttus datos salvo que estén cifrados , se ven en claro, en el caso anterior, los borrarán pero no podrán verlos, al menos .

Y conectarse a una W(Lan) es peligroso, existen ataques Man In The Middle hechos de forma casi para niños con Ettercap .

V 0
K 8
j

el 100% de los sistemas son vulnerables

V 0
K 7
D

Soy del Barça, y me siento en casa en Menéame. Pero soy de iPhone, así que entiendo a los aficionados del Real Madrid, y no me gusta sentirme en su pellejo cuando pasamos de deportes a tecnología. Así que espero que esta noticia salga en portada, igual que salió lo de la caché de localización del iOS.

V 0
K 7
D

#27 Si lo de las tablets ya lo sabía (A mí es que la abejita no me acaba de convencer, prefiero el androide lol), y ya veo que el Nexus S ya ha sido actualizado por OTA... ^^ Gracias por la inf!

V 0
K 7
D
editado

cosa graciosa eso de "cualquier smartphone gobernado por Android 2.3.3 o anterior" OSEA, TODAS LAS VERSIONES lol Ha salido ya la sucesora del 2.3.3 que esté en mercado? Que igual ha salido últimamente y yo no me he enterado... lol

editado:
Vale, pone que ya lo han parcheado en la 2.3.4 Me decís qué terminal tiene esa versión? Porque el Galaxy SII tiene el 2.3.3...

V 0
K 7
s

#24 Efectivamente, la 2.3.4 salio hace un mes y la version para tablets va por la 3.0

V 0
K 6
h

ja ja y ja

V 0
K 6
tommyx

ya que hablamos de "podrian", pues ... coño!, que sea el 100% !!!

V 0
K 6
a

Pues como no me quiten el politono de julioiglesiah.

V 0
K 6
D

Y no es por picar pero, ¿cuantos iPhone tienen el mismo problema?

V 1
K 5
dreierfahrer
editado

#20 Pues mas bien... todos (es de hace 3 meses, espero que no te importe)

http://www.iphone-celulares.com.ar/2011/grave-problema-de-seguridad-en-el-iphone-revela-contrasenas-guardadas

lol y no solo eso!

http://www.desarrolloweb.com/actualidad/alemania-avisa-problemas-seguridad-iphone-3860.html
http://iphoneros.com/?p=1633

V 7
K 62