Vulnerabilidad descubierta en el navegador web de la versión Android 2.2 Froyo y anteriores que permitiría robar ficheros del terminal y en especial los almacenados en la tarjeta SD de forma transparente para el usuario. El sistema de ficheros de las tarjetas SD es FAT32, por lo que carece de permisos de propiedad.
Thomas Cannon, el especialista en seguridad que ha descubierto esta vulnerabilidad, informa que a través de una página HTML especialmente diseñada y Javascript, un atacante podría tener acceso a un número limitado de ficheros almacenados en el terminal. La base del problema es que el navegador de Android, para las versiones mencionadas, no informa al usuario de la descarga de un fichero HTML.
En el ataque, podría tenerse acceso al sistema de ficheros proc y con ello a la versión del kernel y otros parámetros de configuración utilizables como base para ataques posteriores. Además, podrían obtenerse datos del navegador del tipo historial, marcadores, cookies de sesión y también contraseñas guardadas.
El acceso a la tarjeta SD posibilita el robo de ficheros de todo tipo: textos, fotos o vídeo, sin que el propietario del terminal tenga conciencia de la acción. En el momento de escribir estas lineas, no existe una solución oficial al problema, por lo que la única alternativa es utilizar un navegador distinto, por ejemplo Opera Mini, Firefox, Skyfire o cualquier otro de tu elección.
Vía | INTECO
Más información | Navegadores para android
En Tecnología Pyme | Cuidado con los datos en las tarjetas de memoria de equipos con Android
En Genbeta | Android 2.2 Froyo
Comentarios
brillante
Estamos en lo de siempre, si uno hace un uso de la navegación por Internet con criterio y sin visitar páginas sospechosas, no tiene porque pasar nada.
Como siempre la mejor arma para protegerse es el conocimiento.
Concuerdo, y por otro lado yo nunca utilizaría un teléfono para realizar ninguna clase de transacción financiera, ni para comprar o vender, para cosas serias esta la PC, el fon tal vez para ver FB, Twitter o alguna curiosidad. Saber en cuanto está el dólar o ver alguna noticia, pero no para cosas delicadas.
-- editado por última vez a las 03:48
interesante
No parece que se haya producido, pero mejor que se descubriera y se hiciera público. De todas formas si le hubiera pasado a WIndows Phone 7 ya me imagino los comentarios
El fallo se ha detectado en el navegador por defecto de Android, en los otros navegadores de Android no pasa. Si en Windows Phone 7 se puede usar otro navegador las criticas serían las mismas que para Android. Además si no me equivoco ese fallo ya esta corregido con Android 2.3.1, con lo que la gente que use una versión anterior y el navegador por defecto o navega con cuidado o se instala otro navegador que no tenga ese fallo...
Las críticas serían mucho peores. Hay gente que odia a Microsoft por existir como también están los que lo critican porque se lo merece
Da igual si el error solo es en el navegador por defecto, esde deve ser corregido enseguida. No es una solución instalarse otro navegador, además que habra gente que no lo sepa.
Me ha echo gracia con lo que el fallo esta arreglado en 2.3.1, con la fragmentación que hay la mayoría de los moviles actuales nunca la verán y si la llegan a ver sera dentro me varios meses tiempo de sobra para que sean victimas de bugs como este.
Dios, edita esa cosa y hazla mínimamente comprensible (ya no me meto con las múltiples faltas de ortografía).
brillante
Quiero felicitar al autor, y por extensión a Genbeta por dar cabida al fin a una noticia que, en principio no sirve para exaltar, alabar y arrodillarse ante Google. Creo que evitar la dualidad ...
Microsoft = caca = noticias siempre negativas
Google = Dios = noticias siempre positivas
ayudará mucho a la credibilidad del blog.
Dicho esto, coincido con el mensaje anterior. Ante este tipo de peligros sólo cabe protegerse y actuar con responsabilidad. Da igual el OS que utilices.
-- editado por última vez a las 14:41
+1
Otro de Apple que con esta falla de seguridad ha visto como se le ha abierto el cielo...
De forma transparente para el usuario significa exactamente lo contrario de para lo que lo utilizas
edito: ya no lo tengo tan claro, por ahí lo utilizan de las 2 formas...
-- editado por última vez a las 15:11
A ver esto es algo muuuuy malo!! FAIL para Google. Quiere que usesmos sus terminales para compras online, pero resulta que hasta un ciego nos puede robar!! Mirad aqui un video de como funciona la explotación de este bug con un troyano llamado Soundminer http://www.youtube.com/watch?v=_wDhzLuyR68
Cada vez que oigo habar de inseguridad en los moviles, solo pienso en que iOS es muy seguro ya que siendo el principal objetivo no goza de estos problemas y que Android no tiene seguridad. Esperemos que otros OS como WP7 o PalmOS sean seguros.
brillante
Si si, muy seguro, como todos... http://www.ismashphone.com/2010/11/5-of-the-most-notable-ios-security-holes-weve-seen.html
Interesante, hay que no conocia. Aun asi me parece mucho más seguro, hasta google reconoció que android tenía erroes. Pero me sorprende que errores como el que envia sms a cualquiera no sean máxima prioridad. Estos deberían centrarse en su seguridad y acabar con los Forzar Cierres, que sino ya veo que tengo que poner el antivirus XD.
PD: Soy usuario de Android y no tengo nada Apple.
Uy, se me ha ido la mano, iba un voto positivo para ti :S
-- editado por última vez a las 15:54
@Wolf32: que mas te da que los demás SO (WP7 y, por cierto es: WebOS) sean seguros?... si se te ve el plumero y no ves mas halla de iOS ¬¬
Referente al post: espero que lo corrigan en la prox. OTA, el equipo de Android esta constantemente trabajando :)
Todo sistema operativo tiene vulnerabilidades y errores, excepto el que usa una caja de cartón (por eso mismo, porque no tiene y es seguro 100%). Después que los errores se corrijan más o menos rápidamente depende de las ganas del equipo que lo mantiene. Y hablando de los FC de Android, yo los llevo contados y en un año y dos meses, solo he tenido 11, y desde el primer día rooteado y con rom cocinada, firme candidato a tener una cifra muchísimo más elevada, asi que a veces me pregunto ¿qué demonios le haceis para provocar tantos FC?
Sobre el asunto del troyando que enviava sms, notese que no es un bug de seguridad. Se trata de una aplicacion que el usuarios debe instalar. Ocurriría lo mismo en cualquier sistema operativo, por mas seguro que sea.
Si miras el comentario 10 verás que dice explícitamente que no tiene nada apple.
-- editado por última vez a las 16:05
15 Comentario moderado
-25Bueno, no se si sera acertado lo que pienso, pero el navegador de android no deja de ser en esencia una aplicación más ¿no?, pues si es así imagino que sera posible actualizarlo como otras aplicaciones (google maps por ejemplo) sin tener que actualizar el SO al completo, de ser así que lancen una actualización ya del navegador, porque cuanto más tarden, más criticas recibirán, y justamente.
18 Comentario moderado
-25Habrá que reclamarle también a Oracle, con eso de que dicen que Android viola patentes de código, a lo mejor es error suyo, independientemente de que google tiene la obligación de revisar su producto antes de ofrecerlo.
23 Comentario moderado
5Una preguntita, ¿el problema es en el browser por defecto de android solamente?, ya que por lo que vi en la nota ponen una captura de opera mini 10
Jajaja, totalmente cierto.
Lo que es incuestionable es que el sistema de archivos deberia trabajar con permisos por usuario. Todo el mundo puede tener informacion sensible en la tarjeta de memoria, y por tanto cualquier software, no solo el navegador, podria en algun momento utilizar un exploit remoto para acceder a dicha informacion. La limitacion de privilegios es algo que viene ya desde windows XP y que ha evitado numerosos problemas de este tipo. Estoy de acuerdo en que hay que usar la cabeza y ser responsable, pero en este caso creo que google es responsable por usar un sistema de archivos obsoleto, que por otro lado es el utilizado por las tarjetas de memoria que hay en el mercado, y por ende mañana seran otros moviles los que tengan exactamente el mismo tipo de vulnerabilidad
I <3 Dolphin HD browser
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect