RSS Vulnerabilidades

El lado oscuro de la tecnología ha sido objeto de infinidad de debates desde hace décadas, hasta ha dado lugar a obras maestras como 2001: Odisea en el Espacio, pero no hay duda de que el boom de Internet y las tecnologías móviles ha hecho que este miedo aumente, y las últimas filtraciones masivas de Wikileaks sobre el espionaje de la CIA no hacen si no dar la razón a los más escépticos.

La filtración contiene casi 9.000 documentos que describen las técnicas de espionaje de la CIA, las cuales incluyen el hackeo de dispositivos como smart TVs y, por supuesto, smartphones. Tanto iOS como Android aparecen en estos documentos, es decir, que ambas plataformas han sido comprometidas. Apple ya llamó a la calma con un comunicado en el que aseguraban que "casi" todo estaba resuelto y ahora le ha tocado el turno a Google. Esto es lo que Google tiene que decir sobre la filtración de Wikileaks.

Hace un tiempo se encontraron un total de 4 vulnerabilidades de seguridad en los dispositivos que equipaban un chip de Qualcomm, sin importar la versión que estaban usando. A esta vulnerabilidad se le puso el nombre de Quadrooter y, a día de hoy, parte de este problema aún no se ha solucionado.

Quadrooter es una vulnerabilidad que se considera de alto riesgo por aprovecharse de vulnerabilidades en el escalado de privilegios. Además, según la empresa de seguridad Check Point, afecta a casi mil millones de dispositivos alrededor del mundo. Un atacante que se aproveche de Quadrooter tendría que engañar al usuario para que instale una app maliciosa que no pide permisos especiales.

Google ha liberado ya, para sus dispositivos Nexus, el parche de seguridad de julio, el cual resuelve la friolera de más de 100 errores, varios de los cuales tenían que ver con los componentes del propio sistema operativo y controladores de algunos fabricantes de procesadores, aunque su objetivo principal es la parte del sistema que maneja el flujo del sonido y el vídeo.

En cuanto a esta parte, el parche soluciona 16 vulnerabilidades, de las que al menos 7 son críticas, que podrían usarse para obtener privilegios avanzados. Otra vulnerabilidad tratada es la que tiene que ver con las bibliotecas OpenSSL y BoringSSL. Google ha tenido que dividir en dos partes esta actualización debido a la enorme cantidad de errores abordados.

Debido a la vulnerabilidad llamada Stagefright que tantos problemas nos ha causado el año pasado, Google decidió poner solución a esto lanzando una serie de actualizaciones mensuales de seguridad. Varios fabricantes prometieron seguir el mismo camino que Google, pero sólo algunos cumplen a día de hoy.

Además de lanzar estas actualizaciones, Google también publicaba mensualmente las vulnerabilidades que tenía Android y que, por tanto, se solucionarían en la actualización de seguridad. Un poco más tarde le siguió el paso Samsung, y ahora es LG quien se ha unido al club de los bletines mensuales.

Aquí va un trabalenguas: el escáner de exploits que usa exploits para escanear los exploits ha sido retirado de Google Play. ¿Por qué? Por usar exploits. Esto no quiere decir que la aplicación fuera maliciosa, sino que Google ha aplicado las normas de publicación en Google Play a rajatabla y sin excepciones.

VTS es una herramienta de auditoría de seguridad para Android. Con un simple y rápido análisis, te dice si tu teléfono tiene algún agujero de seguridad como el famoso Stagefright. Después del análisis obtienes una lista de todas las vulnerabilidades detectadas con información y enlaces para posibles parches, si los hubiera.

El problema, al menos para Google, radica en el método que usa VTS para detectar estas vulnerabilidades. Con frecuencia la única forma de comprobar si un teléfono es vulnerable a determinado agujero de seguridad es probar esa misma vulnerabilidad (claro está, sin aprovecharlo para hacer algo dañino), y eso va en contra de la política de Google.

Cada vez más, los usuarios nos vamos haciendo a la idea de que cuando utilizamos software nunca estamos seguros del todo, sobre todo si existe conectividad a Internet para la interacción con las aplicaciones.

La última vulnerabilidad de la que hemos tenido noticia se ha descubierto en el teclado de Samsung, la aplicación de teclado nativa que el gigante coreano ha desarrollado para introducir en el firmware de fábrica de sus dispositivos Galaxy.

No estamos hablando de cualquier aplicación. Suele ser habitual escuchar que en Google Play hay poco control y se cuela cualquier cosa, que con más de un millón de aplicaciones cualquiera sabe. El problema es cuando se dirigen las miradas hacia las más famosas y descargadas.

Es lo que han hecho en Codenomicon, quienes descubrieran la vulnerabilidad Heartbleed hace unos meses y de la que tanto se ha hablado. Según explica Olli Jarva, especialista en seguridad de dicho grupo, muchos de estos fallos llegan por la reutilización sin revisión de librerías Open Source como OpenSSL sin la revisión de estas, según un estudio al top 50 de aplicaciones Android.

El administrador de sistemas Bogdan Alecu ha descubierto que los smartphones Nexus son vulnerables ante un ataque DoS vía SMS de clase0. Los terminales afectados son tanto Galaxy Nexus como Nexus 4 y el reciente Nexus 5.

Este problema reside en que los smartphones responden directamente a SMS conocidos como Class 0 y puede conseguirse que el terminal se reinicie, que falle la aplicación de gestión de mensajería o incluso deshabilitar la conexión de red.

Bluebox Security, los mismos que descubrieron una de las vulnerabilidades más graves de Android, han publicado en Google Play una aplicación que comprobará si nuestro dispositivo Android tiene la vulnerabilidad de la firma criptográfica.

La aplicación Bluebox Security Scanner además de decir si nuestra versión de Android tiene el fallo corregido nos dirá a demás si tenemos activado la instalación de aplicaciones de orígenes desconocidos y si se ha instalado alguna aplicación maliciosa usando la vulnerabilidad de la firma digital.

La semana pasada conocimos gracias a Bluebox Security que hasta el 99% de los dispositivos Android podrían estar afectados por un fallo de seguridad relacionado con la firma criptográfica de las aplicaciones de Android, una vulnerabilidad que hoy hemos sabido que fue corregida por Google hace unos meses.

Google corrigió esa vulnerabilidad el pasado mes de Febrero en el código fuente de Android 4.2.2 (AOSP) a los pocos días de ser informados por Bluebox Security. El problema es que muy pocos dispositivos que llevan Android 4.2.2 (Jelly Bean) se actualizaron a la versión con el problema resuelto. De momento solo se sabe que los HTC One y Samsung Galaxy S4 con Android 4.2.2 llevan la versión sin la vulnerabilidad.