F.Manuel
Vulnerabilidad descubierta en el navegador web de la versión Android 2.2 Froyo y anteriores que permitiría robar ficheros del terminal y en especial los almacenados en la tarjeta SD de forma transparente para el usuario. El sistema de ficheros de las tarjetas SD es FAT32, por lo que carece de permisos de propiedad.
Thomas Cannon, el especialista en seguridad que ha descubierto esta vulnerabilidad, informa que a través de una página HTML especialmente diseñada y Javascript, un atacante podría tener acceso a un número limitado de ficheros almacenados en el terminal. La base del problema es que el navegador de Android, para las versiones mencionadas, no informa al usuario de la descarga de un fichero HTML.
En el ataque, podría tenerse acceso al sistema de ficheros proc y con ello a la versión del kernel y otros parámetros de configuración utilizables como base para ataques posteriores. Además, podrían obtenerse datos del navegador del tipo historial, marcadores, cookies de sesión y también contraseñas guardadas.
El acceso a la tarjeta SD posibilita el robo de ficheros de todo tipo: textos, fotos o vídeo, sin que el propietario del terminal tenga conciencia de la acción. En el momento de escribir estas lineas, no existe una solución oficial al problema, por lo que la única alternativa es utilizar un navegador distinto, por ejemplo Opera Mini, Firefox, Skyfire o cualquier otro de tu elección.
Vía | INTECO
Más información | Navegadores para android
En Tecnología Pyme | Cuidado con los datos en las tarjetas de memoria de equipos con Android
En Genbeta | Android 2.2 Froyo
Ver 27 comentarios
27 comentarios
ketbas
Estamos en lo de siempre, si uno hace un uso de la navegación por Internet con criterio y sin visitar páginas sospechosas, no tiene porque pasar nada.
Como siempre la mejor arma para protegerse es el conocimiento.
River Lap
Quiero felicitar al autor, y por extensión a Genbeta por dar cabida al fin a una noticia que, en principio no sirve para exaltar, alabar y arrodillarse ante Google. Creo que evitar la dualidad ...
Microsoft = caca = noticias siempre negativas
Google = Dios = noticias siempre positivas
ayudará mucho a la credibilidad del blog.
Dicho esto, coincido con el mensaje anterior. Ante este tipo de peligros sólo cabe protegerse y actuar con responsabilidad. Da igual el OS que utilices.
fede.fallabrino
Una preguntita, ¿el problema es en el browser por defecto de android solamente?, ya que por lo que vi en la nota ponen una captura de opera mini 10
carlosantizar
Bueno, no se si sera acertado lo que pienso, pero el navegador de android no deja de ser en esencia una aplicación más ¿no?, pues si es así imagino que sera posible actualizarlo como otras aplicaciones (google maps por ejemplo) sin tener que actualizar el SO al completo, de ser así que lancen una actualización ya del navegador, porque cuanto más tarden, más criticas recibirán, y justamente.
Hector Macias Ayala
Habrá que reclamarle también a Oracle, con eso de que dicen que Android viola patentes de código, a lo mejor es error suyo, independientemente de que google tiene la obligación de revisar su producto antes de ofrecerlo.
louis87
De forma transparente para el usuario significa exactamente lo contrario de para lo que lo utilizas
edito: ya no lo tengo tan claro, por ahí lo utilizan de las 2 formas...
Javier
Lo que es incuestionable es que el sistema de archivos deberia trabajar con permisos por usuario. Todo el mundo puede tener informacion sensible en la tarjeta de memoria, y por tanto cualquier software, no solo el navegador, podria en algun momento utilizar un exploit remoto para acceder a dicha informacion. La limitacion de privilegios es algo que viene ya desde windows XP y que ha evitado numerosos problemas de este tipo. Estoy de acuerdo en que hay que usar la cabeza y ser responsable, pero en este caso creo que google es responsable por usar un sistema de archivos obsoleto, que por otro lado es el utilizado por las tarjetas de memoria que hay en el mercado, y por ende mañana seran otros moviles los que tengan exactamente el mismo tipo de vulnerabilidad
orvtech
I <3 Dolphin HD browser
wolf32
A ver esto es algo muuuuy malo!! FAIL para Google. Quiere que usesmos sus terminales para compras online, pero resulta que hasta un ciego nos puede robar!! Mirad aqui un video de como funciona la explotación de este bug con un troyano llamado Soundminer http://www.youtube.com/watch?v=_wDhzLuyR68
Cada vez que oigo habar de inseguridad en los moviles, solo pienso en que iOS es muy seguro ya que siendo el principal objetivo no goza de estos problemas y que Android no tiene seguridad. Esperemos que otros OS como WP7 o PalmOS sean seguros.