CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/02/2011

Una nova vulnerabilitat permet robar dades de Google Android

Un investigador ha revelat la manera d'explotar una vulnerabilitat que afecta els usuaris de Google Android i que pot ser utilitzada per a robar les dades

Risc: Mitjà

Xuxian Jiang, professor de la North Carolina State University, va descobrir una vulnerabilitat en Google Android, mentre treballava en un projecte relacionat amb el sistema operatiu de Google.

Jiang ha explicat que l'exploit que permet accedir a la vulnerabilitat no és particularment difícil d'implementar, però que hi calen coneixements de JavaScript i d'Android. La fallada afecta, fonamentalment, el navegador Android, encara que hi ha un component alié al navegador que també està relacionat amb la vulnerabilitat.

El professor de la universitat assegura haver realitzat proves en un Nexus S i que ha tingut èxit a l'hora d'explotar la vulnerabilitat, permetent-li robar informació personal del telèfon. Jiang ja ha explicat que l'atac funciona demanant-li a l'usuari que visite un enllaç maliciós.

Amb aquest exploit, un atacant podria obtindre una llista d'aplicacions del dispositiu de l'usuari i carregar aplicacions, a més de llegir i carregar qualsevol arxiu en la targeta SD del telèfon.

Sistemes Afectats: La fallada descoberta afecta Android 2.3 i és semblant a una vulnerabilitat descoberta l'any passat per l'investigador Thomas Cannon, en Android 2.2. Referències:

None

Solució:

Un portavoz de Google asegura que la compañía ha contactado con Jiang y ya ha desarrollado un parche que soluciona el problema, parche que saldrá en la próxima actualización de mantenimiento de Android 2.3. Por su parte, Jiang dice que hasta que se haya instalado el parche los usuarios pueden defenderse del fallo deshabilitando temporalmente el soporte de JavaScript en el navegador de Android o utilizando otros navegadores.

Notes:

http://www.itespresso.es/descubren-una-vulnerabilidad-que-permite-robar-datos-de-google-android-49251.html
http://elblogdecalles.blogspot.com/2011/02/detectada-vulnerabilidad-en-android-23.html
http://vippermobile.blogspot.com/2011/01/detectada-vulnerabilidad-en-android-23.html
http://www.wayerless.com/2011/01/detectada-vulnerabilidad-en-android-2-3-gingerbread/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+Wayerless+%28Wayerless%29

 

Font: ITEspresso

CSIRT-CV