Viernes 29 de marzo 2024 Contacto

Durante cinco años una vulnerabilidad de Android permitió espiar cuentas de millones de usuarios




21/03/2019 - 15:41:09
Infobae.- Android maneja m�s de 2.000 millones de usuarios un error de vulnerabilidad en su sistema podr�a haber dejado expuestos datos personales a merced de hackers, es lo que descubri� Sergey Toshin en diciembre pasado.

El error de "alta severidad" no se detect� durante m�s de cinco a�os, pudo permitir a los atacantes espiar a un usuario y obtener acceso a sus cuentas, lo que sirve como muestra de que un c�digo abierto de Android tambi�n crea desaf�os para defender un sistema masivo.

Seg�n Sergey Toshin, un investigador de seguridad m�vil en la firma de detecci�n de amenazas Positive Technologies, el error se origin� en Chromium, el proyecto de c�digo abierto que subyace a Chrome y muchos otros navegadores. Como resultado, un atacante podr�a apuntar no solo a Chrome para dispositivos m�viles, sino a otros navegadores populares basados en Chromium.

A�n m�s espec�ficamente, Chromium potencia un Android tiene una caracter�stica llamada WebView, que funciona detr�s de la escena cuando haces click en un enlace en un juego o una red social; es lo que permite que esas p�ginas se carguen en una especie de mini navegador sin tener que abandonar la aplicaci�n. Al usar la vulnerabilidad de Chromium, los piratas inform�ticos pueden usar WebView para capturar los datos de los usuarios y obtener un acceso amplio al dispositivo.


"Un atacante podr�a lanzar una incursi�n a cualquier navegador m�vil basado en Chromium en un dispositivo Android, incluido Google Chrome, Samsung Internet Browser y Yandex Browser, y recuperar datos de su WebView", explic� Toshin en una entrevista para Wired.

Para empeorar las cosas, el error ha estado presente en todas las versiones de Android desde el KitKat 4.4 de 2013, la primera versi�n de Android que pod�a escuchar "Ok Google" y la primera en incluir emojis en el teclado de Google.

Casi imposible detectarlo

Un atacante obtendr�a el acceso m�s confiable y duradero al dispositivo de una v�ctima enga��ndolos para que instalen una aplicaci�n maliciosa que incorpora WebView y explota el error. Pero Toshin se�ala que los atacantes tambi�n podr�an usar el error para obtener acceso inadecuado al dispositivo invitando a los usuarios para que hagan click en un enlace malicioso que luego se abrir�a a trav�s de la funci�n de aplicaci�n instant�nea de Android.

Este componente permite a los usuarios ejecutar una versi�n de una aplicaci�n inmediatamente sin instalarla realmente. En ese escenario, un atacante no tendr�a acceso permanente y persistente, pero tendr�a un per�odo limitado de tiempo para comenzar a capturar los datos de un usuario o informaci�n sobre sus cuentas m�viles. De cualquier manera, los m�todos son compromisos tranquilos y discretos.

Versi�n actual de Chrome ya elimin� la vulnerabilidad

Positive Technologies revel� el error a Google en enero de este a�o, y la compa��a lo parch� como parte de Chrome 7.2 a fines de ese mes. Los dispositivos que ejecutan Android 7 o posterior deben poder obtener la actualizaci�n a trav�s de las actualizaciones generales de Chrome, pero los dispositivos que ejecuten versiones de Android 5 y 6 deber�n instalar una actualizaci�n especial para WebView a trav�s de Google Play.

Eso es �til para los propietarios de Android con actualizaciones autom�ticas activadas como antiguas, pero de lo contrario tendr�an que instalarlas ellas mismas.

Tanto Toshin como Google tambi�n dijeron que los dispositivos construidos en Android, que no incluyen Google Play, como Amazon Kindles, necesitar�n que los fabricantes de sus dispositivos emitan un parche especial. Aqu� es donde la poblaci�n fragmentada de Android en particular tiene problemas al obtener arreglos para los dispositivos que los necesitan.

Google tambi�n se�al� que no lanz� un parche para Android 4.4, ya que el sistema operativo tiene m�s de cinco a�os y solo se est� ejecutando en lo que la empresa caracteriza como un peque�o porcentaje de dispositivos. Pero de acuerdo con los n�meros propios de Google, el 7.6 por ciento de los dispositivos Android todav�a se ejecutan en KitKat. Basado en una base de instalaci�n de 2.000 millones, eso es alrededor de 152 millones. Tambi�n es m�s que la versi�n actual de Android, Oreo 8.1, que tiene una adopci�n del 7,5 por ciento.

Aplicaciones podr�an estar espi�ndote desde tu tel�fono celular

Unas 17 mil aplicaciones de Android estar�an registrando la actividad de los usuarios y creando un historial permanente con esa informaci�n con fines publicitarios, lo cual va en contra de las pr�cticas recomendadas por Google.

A esa conclusi�n lleg� una investigaci�n publicada por Serge Egelman, director de investigaci�n en el grupo de Privacidad y Seguridad del Instituto Internacional de Ciencias de la Computaci�n.

Las aplicaciones en cuesti�n vinculan el ID de publicidad (un marcador basado en el software del celular y que se puede eliminar de manera similar a las cookies en el navegador) con marcadores espec�ficos del hardware.

Esto hace que las apps mantengan un registro de seguimiento permanente del celular.

Estimados lectores: recuerden que estas noticias las pueden encontrar en nuestro Canal de Whastapp al momento de su publicación.

Sigue el canal de Hoybolivia.com en WhatsApp:
whatsapp.com/channel/0029Va8B7PQ3GJOyC41B2Q1a

Noticias Recientes de Virales

Copyright © Hoybolivia.com Reservados. 2000- 2024