Segamalaga
10/07/13, 14:29:37
Hola compañeros, me gustaría informaros de un bug de seguridad descubierto en Android. Se supone que lo descubrieron en Febrero pero ha salido a la luz en los últimos días.
Voy a tratar de explicarlo para todos los públicos y según mis limitados conocimientos técnicos X-D (que alguien me corrija si me equivoco):
Cuando se instala una app, ésta lleva una llave criptográfica única que le otorga el desarrollador y que se mantiene aunque la actualices. Esto hace que el sistema la reconozca como válida.
Lo que hace el bug de seguridad encontrado es permitir obtener esa llave criptográfica de cualquier app. Así, un atacante puede modificar la app con código propio, y presentársela al usuario como una actualización normal y corriente porque el sistema Android verá que tiene la misma clave y por tanto, es válida.
¿Para qué iba a querer nadie hacer esto? Muy fácil, para manipular una app legítima y meterle un troyano con la intención de obtener datos de los usuarios ya sean contraseñas (Google Play, Google Wallet, datos bancarios...) y obtener acceso 100% al terminal en cuestión sin que te des cuenta
Link con información: http://www.elandroidelibre.com/2013/07/revelado-un-fallo-de-seguridad-que-afecta-al-99-de-los-terminales-android.html
http://www.elandroidelibre.com/2013/07/como-funciona-el-ultimo-bug-de-seguridad-de-android-y-como-evitarlo.html
http://www.elandroidelibre.com/2013/07/el-peor-bug-de-seguridad-de-android-se-soluciono-en-febrero-pero-casi-nadie-ha-recibido-actualizacion.html
Por el momento hay un par de terminales según lo que se lee sobre el tema que ya vienen parcheados y que son el Galaxy S4 y el HTC One X (mi Xperia S con JB también está parcheado, pongo foto más abajo)
Resulta que la empresa de seguridad BlueBox (que ha sido la que informó sobre el tema) ha colgado en Google Play una app (gratis) para comprobar si tu dispositivo sufre el mencionado bug:
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
He de decir que no hay que tirarse de los pelos ni apagar nuestros terminales hasta que lo arreglen :risitas:. Sólo hay que tener un poco de cabeza y seguir los consejos de uno de los links que hay más arriba y hacer uso de "buenas prácticas" que todo el mundo ya debe conocer:
-no instalar apps de sitios desconocidos o descargadas de cualquier sitio (páginas de enlaces, carpetas compartidas)
-tener mucho cuidado con markets alternativos estilo BlackMarkt, Apptoide...
Dicen que los componentes de el equipo Cyanogenmod ya han solucionado el bug y lo subirán implementado en las próximas nigthlies: http://review.cyanogenmod.org/#/c/45251/
Adjunto capturas de mi Xperia S con JB (ya parcheado gracias a Sony) y de mi Tab 2 con CM10.1 sin parchear.
Actualización 21/07/2013
Gracias al compañero @winsmel del subforo del Xperia S comparto con vosotros un hilo que ha creado hablando de otro bug de seguridad descubierto. Al igual que el anterior funciona ""trucando"" la firma de las .apk para hacer creer al sistema que son auténticas.
Hay que instalar "Xposed Installer" y una pequeña descarga desde el Google Play para corregir el bug a falta que se parchee en futuras versiones.
Más información sobre como solucionarlo aqui:
http://www.htcmania.com/showthread.php?t=649302
Saludos
Voy a tratar de explicarlo para todos los públicos y según mis limitados conocimientos técnicos X-D (que alguien me corrija si me equivoco):
Cuando se instala una app, ésta lleva una llave criptográfica única que le otorga el desarrollador y que se mantiene aunque la actualices. Esto hace que el sistema la reconozca como válida.
Lo que hace el bug de seguridad encontrado es permitir obtener esa llave criptográfica de cualquier app. Así, un atacante puede modificar la app con código propio, y presentársela al usuario como una actualización normal y corriente porque el sistema Android verá que tiene la misma clave y por tanto, es válida.
¿Para qué iba a querer nadie hacer esto? Muy fácil, para manipular una app legítima y meterle un troyano con la intención de obtener datos de los usuarios ya sean contraseñas (Google Play, Google Wallet, datos bancarios...) y obtener acceso 100% al terminal en cuestión sin que te des cuenta
Link con información: http://www.elandroidelibre.com/2013/07/revelado-un-fallo-de-seguridad-que-afecta-al-99-de-los-terminales-android.html
http://www.elandroidelibre.com/2013/07/como-funciona-el-ultimo-bug-de-seguridad-de-android-y-como-evitarlo.html
http://www.elandroidelibre.com/2013/07/el-peor-bug-de-seguridad-de-android-se-soluciono-en-febrero-pero-casi-nadie-ha-recibido-actualizacion.html
Por el momento hay un par de terminales según lo que se lee sobre el tema que ya vienen parcheados y que son el Galaxy S4 y el HTC One X (mi Xperia S con JB también está parcheado, pongo foto más abajo)
Resulta que la empresa de seguridad BlueBox (que ha sido la que informó sobre el tema) ha colgado en Google Play una app (gratis) para comprobar si tu dispositivo sufre el mencionado bug:
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
He de decir que no hay que tirarse de los pelos ni apagar nuestros terminales hasta que lo arreglen :risitas:. Sólo hay que tener un poco de cabeza y seguir los consejos de uno de los links que hay más arriba y hacer uso de "buenas prácticas" que todo el mundo ya debe conocer:
-no instalar apps de sitios desconocidos o descargadas de cualquier sitio (páginas de enlaces, carpetas compartidas)
-tener mucho cuidado con markets alternativos estilo BlackMarkt, Apptoide...
Dicen que los componentes de el equipo Cyanogenmod ya han solucionado el bug y lo subirán implementado en las próximas nigthlies: http://review.cyanogenmod.org/#/c/45251/
Adjunto capturas de mi Xperia S con JB (ya parcheado gracias a Sony) y de mi Tab 2 con CM10.1 sin parchear.
Actualización 21/07/2013
Gracias al compañero @winsmel del subforo del Xperia S comparto con vosotros un hilo que ha creado hablando de otro bug de seguridad descubierto. Al igual que el anterior funciona ""trucando"" la firma de las .apk para hacer creer al sistema que son auténticas.
Hay que instalar "Xposed Installer" y una pequeña descarga desde el Google Play para corregir el bug a falta que se parchee en futuras versiones.
Más información sobre como solucionarlo aqui:
http://www.htcmania.com/showthread.php?t=649302
Saludos