Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Prueba de concepto en Android Jelly Bean que evade la seguridad
Los investigadores que descubrieron una grave vulnerabilidad en Android 4.3 Jeally Bean, que permite que una aplicación maliciosa deshabilite los mecanismos de seguridad en un dispositivo vulnerable, han publicado una aplicación con el código fuente, como parte de una prueba de concepto que permite explotar el bug.
Esta vulnerabilidad es provocada por la forma en la que Jeally Bean maneja el flujo de peticiones cuando un usuario intenta cambiar uno de los muchos mecanismos de seguridad que el sistema operativo ofrece. Por ejemplo, si un usuario quiere cambiar el modo de bloqueo por gestos, Android solicitará al usuario que confirme su PIN u otro mecanismo de seguridad para realizar el cambio. La vulnerabilidad le permite a una aplicación maliciosa deshabilitar esta comprobación y todos los mecanismos de bloqueo en el sistema operativo. Investigadores de Cursec, en Alemania, descubrieron este error en octubre, mismo que reportaron a Google, quien ha incluido un parche en la versión 4.4 de Android.
Android 4.3 Jeally Bean es por mucho la versión con mayor esparcimiento en el mercado, sin embargo, muchos proveedores de telefonía móvil prefieren que sus usuarios adquieran nuevos equipos con software más reciente a liberar actualizaciones de seguridad para sus usuarios. Esto significa que hay millones de dispositivos potencialmente vulnerables a este ataque. Los investigadores de Cursec publicaron una aplicación este martes que demuestra el ataque, también publicaron el código fuente para que otros investigadores puedan reproducirlo.
Marco Lux, investigador de Cursec, comentó que no conoce de algún grupo de trabajo que estè enfocado en solucionar la vulnerabilidad y que, hasta este momento, no hay un parche disponible para Jeally Bean que solucione esta vulnerabilidad.
A diferencia de Apple, que envía las actualizaciones de seguridad directamente a sus usuarios, las actualizaciones para Android son responsabilidad de los proveedores de telefonía móvil. La Unión Estadounidense por las Libertades Civiles (ACLU, por sus siglas en inglés) ha solicitado a la Comisión Federal de Comercio que investigue a los operadores que no distribuyen las actualizaciones de seguridad para los dispositivos Android.
