CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

09/12/2011

Android, vulnerable a atacs al carregar imatges ISO

Android Investigadors d’una universitat de Califòrnia alerten de les fallades de seguretat dels terminals Android als quals els deixen exposats els fabricants quan carreguen les imatges ISO amb el seu sistema personalitzat.

Enginyers de seguretat afirmen haver descobert fallades importants en molts dels terminals mòbils Smartphone que actualment són comercialitzats amb el sistema operatiu Android, que permeten atacs a possibles gravacions de telefonades, enviament de missatges SMS, així com accés a les dades dels usuaris.

Alguns investigadors informàtics de la Universitat de l’Estat del Nord de Califòrnia van provar diversos telèfons de diferents fabricants, entre els quals s’incloïen models de Samsung, HTC i Motorola, i quina va ser la sorpresa quan van trobar que el model de seguretat basat en permisos no era l’apropiat per a controlar els accessos als telèfons. Pareix que el problema rau en la imatge del sistema operatiu que despleguen relacionada amb les API del seu entorn de treball particular i la personalització que realitzen del terminal.

En absència d’un procés de depuració d’aplicacions, els telèfons Android es basen en un model de permís de seguretat que requerix de cada aplicació per a sol·licitar explícitament els permisos abans que puguen ser instal·lades. Estes capacitats de filtrat poden ser fàcilment explotades per a esborrar les dades de l’usuari, o bé, enviar missatges SMS a números de telèfon auxiliars.

L’ús d’una ferramenta anomenada Woodpecker va fer possible que els investigadors trobaren que dels 13 permisos d’execució que formen part del procés, 11 d’estos pogueren ser explotats. Estes capacitats de filtrat poden ser explotades amb tot tipus de successos. A més de les ja comentades, cal destacar la que obté informació de les dades de geolocalització dels telèfons afectats sense que l’aplicació informe l’usuari de l’enviament de l'esmentada informació.

L’estudi té en compte només les aplicacions que són precarregades en el microprogramari del telèfon. Així doncs, és d’esperar que una vegada que l’usuari accedix a instal·lar aplicacions de terceres parts, la problemàtica de la seguretat es veu afectada en major grau.

 

Enginyers de seguretat afirmen haver descobert fallades importants en molts dels terminals mòbils Smartphone que actualment són comercialitzats amb el sistema operatiu Android, que permeten atacs a possibles gravacions de telefonades, enviament de missatges SMS, així com accés a les dades dels usuaris.

Alguns investigadors informàtics de la Universitat de l’Estat del Nord de Califòrnia van provar diversos telèfons de diferents fabricants, entre els quals s’incloïen models de Samsung, HTC i Motorola, i quina va ser la sorpresa quan van trobar que el model de seguretat basat en permisos no era l’apropiat per a controlar els accessos als telèfons. Pareix que el problema rau en la imatge del sistema operatiu que despleguen relacionada amb les API del seu entorn de treball particular i la personalització que realitzen del terminal.

En absència d’un procés de depuració d’aplicacions, els telèfons Android es basen en un model de permís de seguretat que requerix de cada aplicació per a sol·licitar explícitament els permisos abans que puguen ser instal·lades. Estes capacitats de filtrat poden ser fàcilment explotades per a esborrar les dades de l’usuari, o bé, enviar missatges SMS a números de telèfon auxiliars.

L’ús d’una ferramenta anomenada Woodpecker va fer possible que els investigadors trobaren que dels 13 permisos d’execució que formen part del procés, 11 d’estos pogueren ser explotats. Estes capacitats de filtrat poden ser explotades amb tot tipus de successos. A més de les ja comentades, cal destacar la que obté informació de les dades de geolocalització dels telèfons afectats sense que l’aplicació informe l’usuari de l’enviament de l'esmentada informació.

L’estudi té en compte només les aplicacions que són precarregades en el microprogramari del telèfon. Així doncs, és d’esperar que una vegada que l’usuari accedix a instal·lar aplicacions de terceres parts, la problemàtica de la seguretat es veu afectada en major grau.

Font: CSO-España

CSIRT-CV