Naruedyoh
ColaboradorSiempre que hablamos de la seguridad de Android, siempre esgrimimos las mismas pruebas de siepre, que no hay virus tal y como los hay en los ordenadores personales que se ejecutan automáticamente y que siempre que se instala la aplicación especifica los permisos que pide para funcionar y por ella podemos saber si una aplicación está hecho con finaes maliciosos.
Pero todo lo que hemos argumentado ha demostrado no ser tan cierto como hemos estado afirmando siempre. Según un investigador, Thomas Cannon, se ha demostrado que puede haber una aplicación que no pide ningún permiso y que el propio sistema lo califica más inofensivo que un simple fondo de escritorio capaz de dar un fallo grave en el terminal. La aplicación en cuestión hace que un servidor pueda tomar el control de forma remota del terminal.
Según Cannon, este problema está en conocimiento de los desarrolladores de Android que no han implementado un parche correcto, y haciendo pruebas con todas las versiones de Android, desde 1.5 Cupcake a 4.0 Ice Cream Sandwich y ha encontrado el agujero de seguridad en todos. En el vídoe a continuación se explica con más detalle, pero nos obliga a volver a pensar la seguridad que creíamos que tenían nuestros terminales.
Android No-Permissions Reverse Shell from Thomas Cannon on Vimeo.
Vía | Viaforensics
Ver 14 comentarios
14 comentarios
Usuario desactivado
No digo que no sea posible, pero después de ver el vídeo y la demostración me gustaría ver una cosa, esta misma demostración en un terminal real y no en el emulador.
Perdonar mi desconfianza pero alguien que trabaja en una empresa que da servicios de seguridad para móviles me despierta cierto recelo. El que ofrezcan un "certificado" para los desarrolladores que afirme que una aplicación es segura y justo lancen este vídeo afirmando que las aplicaciones en Android son inseguras más allá de los permisos me resulta sospechoso.
http://thomascannon.net/about/
http://viaforensics.com/services/security/mobile-application-appsecure/certification/
Si luego lo demuestra de forma más fiable entonces diré que es Google quien debe reaccionar y lanzar un parche para solucionarlo, pero mientras tanto me crea muchas dudas.
hquevedo
Yo siempre reviso los permisos que piden las aplicaciones pero si el fallo esta que quizas hay QUIZAS una aplicación que no pida ninguno creo que en todas las aplicaciones que he visto no hay una así, pero no anda todo muy bien con esta noticia, ahora pregunto yo ese señor quien es? Alguien que nos quiere vender una solución?
Victor
Por lo menos en este sistema tienen que averiguar como saltarse permisos y cosas así, a diferencia de otros sistemas que si les hablas de permisos te dicen ¿what?, ¿ejecutar como administrador? xD .
74576
Venga, vamos a intentar hacer un análisis mínimamente serio de lo que afirma este señor. He visto por encima el vídeo (sin sonido), y lo que hace es:
1. Instala una aplicación que requiere permisos completos de conexión a Internet 2. Después instala una aplicación que no requiere permisos especiales.
Lo que está haciendo es que la aplicación sin permisos tenga conexión a través de la que sí los tiene, con lo que lo importante no es que una aplicación sin permisos pueda hacer algo. El tema es que está combinando dos aplicaciones, y mi duda es si realmente es posible evitar que dos aplicaciones que corren en el sistema se comuniquen entre sí.
Además, si os fijáis en ningún momento intenta siquiera leer o crear archivos, seguramente porque ninguna de las dos aplicaciones que ha instalado tiene permisos para ello (!!).
Resumiendo, que a lo más a que hemos llegado es a que si te instalas una aplicación maliciosa, una segunda aplicación maliciosa puede aprovecharse de ella sin pedirte permisos. Ok, aceptamos barco, pero mientras alguien no me aporte algo de luz y más datos sobre el exploit no me voy a sentir particularmente amenazado, que creo que es lo que pretende con su vídeo.
pleonh
Saben que post como estos y blogs como estos NO ayudan a Android, sera esto verdad?? que quiere demostrar este señor? o mejor dicho que nos quiere vender este señor? y mas claro que nos quiere enseñar este blog? que Android es lo peor en seguridad?
Diablos estoy en un blog de Android, publiquen buenas noticias de Android, y publiquen información mas confiable en un terminal que haya ocurrido esto, no un emulador.
Quiero noticias reales, no supuestos
mandreozzi
Linda forma de terminar el año para Android... :(