Portada
mis comunidades
otras secciones
#22:
#15 "Las actualizaciones de los teléfonos móviles, en general, son la mayor cagada en seguridad de esta década."
Las actualizaciones en los smartphones con Android son, en general, la mayor cagada en seguridad. No metas en el mismo saco a Windows Phone, a Ubuntu, a BlackBerry y a otros sistemas que no nombraré por que esto es Menéame.
Las actualizaciones en los smartphones con Android son, en general, la mayor cagada en seguridad. No metas en el mismo saco a Windows Phone, a Ubuntu, a BlackBerry y a otros sistemas que no nombraré por que esto es Menéame.
#12:
No es más grave Stagefright ni de lejos.
Esta vulnerabilidad del meneo requiere que el usuario acceda a una aplicación mailiciosa o a una web maliciosa, en ambos casos el origen del ataque se puede cerrar y si el atacante no ha sido cuidadoso se puede rastrear.
Es una vulnerabilidad visible lo que hace que el usuario actúe para solucionar el problema.
Por contra el Stagefright no requiere de acción alguna del usuario y el tomar el control no tiene por qué ser visible, la amenaza puede estar presente en el dispositivo indefinidamente y el atacante puede usarlo como plataforma para llevar a cabo otros ataques que tengan un impacto financiero.
Esta vulnerabilidad del meneo requiere que el usuario acceda a una aplicación mailiciosa o a una web maliciosa, en ambos casos el origen del ataque se puede cerrar y si el atacante no ha sido cuidadoso se puede rastrear.
Es una vulnerabilidad visible lo que hace que el usuario actúe para solucionar el problema.
Por contra el Stagefright no requiere de acción alguna del usuario y el tomar el control no tiene por qué ser visible, la amenaza puede estar presente en el dispositivo indefinidamente y el atacante puede usarlo como plataforma para llevar a cabo otros ataques que tengan un impacto financiero.
#4:
Stagefright me parece más grave, porque toman el control del teléfono.
Por lo demás, todo lo que tenga que ver con multimedia es peor que un vertedero ilegal. Hay ahí una enorme cantidad de código antediluviano para manejar formatos que nadie quiere ni mirar porque no es rentable y porque puede romperle el negocio a un montón de empresas con procesos del año de la picor. Aparte que los más interesados, las empresas que editan vídeo, no se van a gastar ni locos lo que vale un desarrollador.
Si nos tomáramos las cosas en serio los móviles y ordenadores personales soportarían solo un formato de vídeo y audio por defecto, lo justo y suficiente para el consumidor medio. Lo demás para aplicaciones especializadas.
Por lo demás, todo lo que tenga que ver con multimedia es peor que un vertedero ilegal. Hay ahí una enorme cantidad de código antediluviano para manejar formatos que nadie quiere ni mirar porque no es rentable y porque puede romperle el negocio a un montón de empresas con procesos del año de la picor. Aparte que los más interesados, las empresas que editan vídeo, no se van a gastar ni locos lo que vale un desarrollador.
Si nos tomáramos las cosas en serio los móviles y ordenadores personales soportarían solo un formato de vídeo y audio por defecto, lo justo y suficiente para el consumidor medio. Lo demás para aplicaciones especializadas.
#44:
A estas alturas, cada vez que veo "Grave vulnerabilidad para [Android/iOs/Windows/Linux/OsX]" pienso "sen-sa-cio-na-lis-mo"
Mientras no vea una noticia del tipo "Vulnerabilidad provoca perdida de datos en 1 millón de terminales" o algo así, todo este tipo de noticias me parecen el cuento de pedro y el lobo.
¿Cuántas vulnerabilidades gravísimas del tipo ¡Vamos a morir todos! salen cada año sin tener nunca efecto real alguno?
Mientras no vea una noticia del tipo "Vulnerabilidad provoca perdida de datos en 1 millón de terminales" o algo así, todo este tipo de noticias me parecen el cuento de pedro y el lobo.
¿Cuántas vulnerabilidades gravísimas del tipo ¡Vamos a morir todos! salen cada año sin tener nunca efecto real alguno?
#55:
#20 Totalmente cierto excepto por que Java solo es un lenguaje de programación, igual te referías a la máquina virtual de java (JVM) pero eso tampoco tendría nada que ver porque Android no la usa, usaba Dalvik y ahora ART.
Además de que tanto el mediaserver de esta noticia como la librería Stagefright están escritas en C++.
Así que si, la culpa es evidentemente de Java, eso o quizá hablamos sin tener ni idea.
Además de que tanto el mediaserver de esta noticia como la librería Stagefright están escritas en C++.
Así que si, la culpa es evidentemente de Java, eso o quizá hablamos sin tener ni idea.
Comentarios
#15 "Las actualizaciones de los teléfonos móviles, en general, son la mayor cagada en seguridad de esta década."
Las actualizaciones en los smartphones con Android son, en general, la mayor cagada en seguridad. No metas en el mismo saco a Windows Phone, a Ubuntu, a BlackBerry y a otros sistemas que no nombraré por que esto es Menéame.
#22 Chapó a tu comentario
#22 iPhone de Apple,
Ay mi karma me lo mataaaaron anocheee cuándo dormiaaa. 🎶
Mi karma me lo robaron estandoooo de romeriiiia. ¿donde estará mi karma, donde estará mi karma? 🎵
Stagefright me parece más grave, porque toman el control del teléfono.
Por lo demás, todo lo que tenga que ver con multimedia es peor que un vertedero ilegal. Hay ahí una enorme cantidad de código antediluviano para manejar formatos que nadie quiere ni mirar porque no es rentable y porque puede romperle el negocio a un montón de empresas con procesos del año de la picor. Aparte que los más interesados, las empresas que editan vídeo, no se van a gastar ni locos lo que vale un desarrollador.
Si nos tomáramos las cosas en serio los móviles y ordenadores personales soportarían solo un formato de vídeo y audio por defecto, lo justo y suficiente para el consumidor medio. Lo demás para aplicaciones especializadas.
#4 toman el control del teléfono
Eso es un problema muy serio cuando el teléfono lo es todo.
#4 los ordenadores personales se pueden actualizar de forma más o menos decente, pero Android no. Las actualizaciones de los teléfonos móviles, en general, son la mayor cagada en seguridad de esta década.
#4 Tienes toda la razón del mundo con lo de un formato estándar, aunque probablemente acabaríamos así:
#4: Genial, volvamos al K-Little codec pack para poder ver lo que teníamos de antes.
No es más grave Stagefright ni de lejos.
Esta vulnerabilidad del meneo requiere que el usuario acceda a una aplicación mailiciosa o a una web maliciosa, en ambos casos el origen del ataque se puede cerrar y si el atacante no ha sido cuidadoso se puede rastrear.
Es una vulnerabilidad visible lo que hace que el usuario actúe para solucionar el problema.
Por contra el Stagefright no requiere de acción alguna del usuario y el tomar el control no tiene por qué ser visible, la amenaza puede estar presente en el dispositivo indefinidamente y el atacante puede usarlo como plataforma para llevar a cabo otros ataques que tengan un impacto financiero.
#11 Proofs or GTFO.
Alguien pulsó el botón de idioma a mitad de la entradilla
#1 Perdón sí ...hice cocktail entre vía y fuente saludos
Android NO es Linux (cuando sale un virus)
#9 Android es Linux, pero no una distribución Linux.
#9
Android no es GNU/Linux. Es Android/Linux.
GNU tampoco es Linux, es GNU/Linux. Y también GNU/Hurd.
#30 claro y conciso, pero no te librará de los tolls. Gran aporte para los que deben aclararse el conocimiento.
#24 Go to #30
¿No se pueden votar comentarios como cansinos?
#57 #61 #66 Lo que he dicho se entiende perfeectamente y es indefendible. Ahora lo que haceis es comentar cosas que no tienen nada que ver con lo que yo he dicho para que parezcas que me lo discutis, pues ale.
No suelo votar en negativo, pero me he visto obligado porque yo he dicho una cosa, la incongruencia de decir lo primero y luego lo segundo, y me habeis contestado cosas que nada tienen que ver.
Repito, no se puede un día decir que Linux es superusado porque Android es Linux (o está sobre Linux), y al dia siguiente decir que Android no es Linux porque se ha encontrado un virus. Ese era mi mensaje, ahora comentad como es costumbre lo que os plazca.
#86 La PSP usa NetBSD y la PS4 usa FreeBSD.
¿Afecta un bug de la PS4 a FreeBSD?
#86 Te lo voy a explicar fácil para que lo entiendas.
GNU/Linux es un núcleo, se usa en ordenadores y otros dispositivos, pero no se usa a pelo, obviamente necesita otras capas. Entre esas otras capas está Android.
Que los móviles que usan Android a su vez usen Linux es VERDAD.
Que los fallos de seguridad que son exclusivos de Android y no afecten a otros sistemas con núcleo Linux sean culpa de Linux es MENTIRA (es culpa de Android, más concretamente de Google).
Si con eso no lo entiendes mejor damos por zanjado el asunto.
#93 Entonces cuando un error no sea del núcleo de Windows diremos que no es culpa de Windows, ¿si no de la librería X?.
#94 Si la librería X está programada por Microsoft será un error de Microsoft, si esa librería ha sido programada por Google pues será culpa de Google. ¿La lógica te viene grande por algún casual?
#9 Que tu mercedes use un motor volkswagen u opel , no quiere decir que volkswagen u opel tengan la culpa de un fallo de seguridad en la puerta de tu coche. No se si me entiendes.
#8 Imposible, entre los programadores de linux no existe la maldad.
#10 De hecho dicen que el Dalai Lama programa en python.
A estas alturas, cada vez que veo "Grave vulnerabilidad para [Android/iOs/Windows/Linux/OsX]" pienso "sen-sa-cio-na-lis-mo"
Mientras no vea una noticia del tipo "Vulnerabilidad provoca perdida de datos en 1 millón de terminales" o algo así, todo este tipo de noticias me parecen el cuento de pedro y el lobo.
¿Cuántas vulnerabilidades gravísimas del tipo ¡Vamos a morir todos! salen cada año sin tener nunca efecto real alguno?
#44 Los peores exploits son los que pueden usarse contra unos pocos usuarios bien escogidos. Una vulnerabilidad gravísima del tipo "vamos a morir todos" se parchea rápido (o al menos se populariza y la gente se pone sobre aviso)
#51 Ese tipo de exploits lo usará la NSA con el móvil de Merkel, de Patricia Botín, de Pablo Iglesias y de gente así, no contra mi o contra ti
Lo que no entiendo es por qué os quejáis de vulneraciones y demás tonterías, si cada vez que instaláis una aplicación os piden el pin de la Visa..., y se lo dais.
Si preguntas por el SO mas utilizado, los defensores de Linux dicen que Linux por la cantidad de smartphones con Android.
Pero cuando sale un virus te dicen que Android no es Linux porque lo toca Google.
entiendo
#24 Que yo sepa esta vulnerabilidad no afecta a los usuarios de Linux de escritorio... ¿o me confundo?
#24 Android NO ES LINUX . Usa linux de fondo para ejecutar su propio SO que funciona a través de una maquina virtual JAVA, ya sea esta Dalvik o ART. Lo que están atacando no es el sistema linux que hay por debajo,si no a la capa de JAVA.
Es como si te haces un sistema operativo online en apache o cualquier tipo de servidor. Tu podría correr ese sistema desde windows, o un mac, o linux, pero si tuviera cualquier vulnerabilidad no quiere decir que fuera culpa de windows, ios o linux.
Es decir Android entero, es un programa que se ejecuta en linux. El error lo tiene el programa, no linux.
Se me entiende???
#36 Acabaremos usando MV (Móviles virtuales).
#24 Tienes razón, "Linux" como SO es una abreviación para referirse al conjunto de distribuciones también llamadas "GNU/Linux". Android no es tal. El problema es, o bien de quien te dice que Linux es el SO más utilizado porque se utiliza en Android, o bien tuyo por interpretar que te hablan de un SO cuando mencionan Linux.
Una vez más, qué gran error llamar "Linux" genéricamente a las distribuciones que lo acunaron.
Errónea, Android deriva de Linux y por tanto es perfecto, no cabe posibilidad de error, ni adrede
#5 Siento decirte que unas de las mejores cosas que tiene linux es que el codigo fuente esta disponible a todo el mundo, y eso posibilita que "adrede" alguien haga un desastre o una maravilla.
#8 Linux ha llegado a tener código malicioso en su propio núcleo durante años siendo código abierto y sin que nadie se diera cuenta ni hiciera nada al respecto.
#11 parece plausible links para informarme ?
#8 El problema es que eso es muy bonito en la teoría pero en la práctica hay que conocer bien un sistema para poder siquiera empezar a entenderlo (ya no digamos descubrir vulnerabilidades que no son nada obvias), con lo cual ese "todo el mundo" queda reducido a unos pocos individuos, que a veces se van reduciendo hasta que no queda nadie que sepa entender el sistema realmente.
Por eso a veces hay vulnerabilidades y bugs escondidos durante años o décadas y sólo se llegan a encontrar cuando alguien se pone a buscarlos a conciencia.
#5 Sí, pero por encima de Linux han puesto una capa muy gruesa de Java. Y eso anula cualquier posible ventaja de usar Linux.
#20 Totalmente cierto excepto por que Java solo es un lenguaje de programación, igual te referías a la máquina virtual de java (JVM) pero eso tampoco tendría nada que ver porque Android no la usa, usaba Dalvik y ahora ART.
Además de que tanto el mediaserver de esta noticia como la librería Stagefright están escritas en C++.
Así que si, la culpa es evidentemente de Java, eso o quizá hablamos sin tener ni idea.
#20 Android está programado casi en su totalidad en C++, lo único que usa Java son las aplicaciones.
#20 Jeje, de acuerdo con que Java no me pareció la mejor elección, pero en este caso el error es un pete (un BSOD) en una librería de C++ de Android al procesar un video.
#0 Sensacionalista porque el otro bug era, por mucho, más grave. Este es sólo un pete, un BSOD al leer un video chungo.
#5 Toma, se te ha caído y la gente anda bastante densa: "/s"
#5 Negativo al canto, tu comentario es un troleo manido, cutre y cansino, sin posibilidad de generar ni un Ja, Ja, Japon ni fumado.
#5 De la misma forma que un coche deriva de una rueda y por tanto es redondo.
Me voy a tomar un bicarbonato para la repetición...
(Posiblemente sea sarcástico, pero mucha gente se lo cree)
Lo que estaría realmente bien sería un móvil "debianizado", todo dependiente de la comunidad, sin java y muy uniforme en seguridad, etc. A ver con el plasma mobile y en qué se basan...
O quién sabe, a lo mejor así Google ve que el "yo me lo guiso/yo me lo como" no le sirve tanto como creía, y busca formas de que sea algo más comunitario...
#25 Plasma Mobile usa Ubuntu Phone como base
#32 Como fiel usuario de Xubuntu y a su vez conocedor de las "cosillas" de Canonical con Ubuntu (Unity, Mir, lo de Amazon...) No sé si alegrarme o no de saberlo .
#83 Pues yo lo veo bien El SO es 100% libre y Plasma Mobile es el primer proyecto que se basa en el.
Sensacionalista.
El titular es de la noticia de la entradilla. La vulnerabilidad no es "más grave", es un exploit local, de momento no hay prueba de concepto de explotación remota.
Creo que alguien ha confundido esta vulnerabilidad con la de Stagefright...
#40 Es más, se explica el problema claramente y no parece haber manera de hacer nada más grave que colgar el teléfono. En #67 he puesto algo de información más técnica.
Mas graveee? Si lo he entendido bien simplemente te pueden tumbar el movil pero nada mas..
#41 Efectivamente, es sensacionalismo puro y duro, además de momento la prueba de concepto es local, para tumbarte el móvil deben acceder físicamente a él...
Tal como lo entiendo es necesario que haya algún archivo mkv "dañino" en el sistema. Que alguien me corrija si me equivoco.
Desde cuando un DOS es mas grave que un remote code execution?
#37 Desde que "no dejes que la realidad te estropee un buen titular" es la maxima de cualquier publicacion hoy en dia.
#37 desde que alguien puso de estreno un nuevo y flamante Windows esta misma semana, o no?
Vaya vaya... cuantas noticias juntas de Android malo. (Aunque la gravedad del remote code execution sea para hacérselo mirar...)
#0
corrige, traduce el final de la entradilla si esoAl final la gente terminara con fos teléfonos, que no números, uno para lo oficial y lo serio y otro para el resto, más infectado que la Europa de la Peste Negra.
#36 yo lo hago ya así con un teléfono adicional para la línea del trabajo... En los aviones es un show.
Peor era cuando trabajaba en telefonía y llevaba muestras a congresos. Al MWC llevé 3 portátiles y 15 móviles en un maletín, casi me detuvo la policía en el puente aéreo
Voto sensacionalista, con esta vulnerabilidad no se puede tomar en control del sistema, sólo colgarlo y que deje de funcionar hasta el próximo reinicio. No es tan grave como la anterior, ni mucho menos..
Rápido, votemos negativo! Si no lo vemos, es que no existe! O siempre podremos decir que "hoy Android no es Linux".
Creo que puede ser útil una explicación en "lenguaje mortal" de la vulnerabilidad:
El problema se da cuando el sistema intenta leer un archivo de vídeo en formato MKV.
Un MKV especialmente modificado mostrado por una aplicación maliciosa o por un sitio web puede colgar el sistema. El artículo no dice que se pueda aprovechar para ganar privilegios especiales pero el programa afectado es el mediaserver.
Datos más técnicos: Mirando en mi propio teléfono puedo constatar que no corre con privilegios de root, por lo tanto una vulnerabilidad no afectaría al sistema en sí ni a otras aplicaciones. Recordemos que en Android cada aplicación corre como un usuario diferente y por lo tanto no pueden afectarse entre ellas. Así que por suerte si bien puede ser muy molesto que te manden un vídeo por Telegram que te bloquee el teléfono, al menos no llega a algo más grave.
Vídeo de ejemplo de aplicación maliciosa.
shell@Aquaris_E5_HD:/ $ cat /proc/140/status
Name: mediaserver
State: S (sleeping)
Tgid: 140
Pid: 140
PPid: 1
TracerPid: 0
Uid: 1013 1013 1013 1013
Gid: 1005 1005 1005 1005
#3 Me parece que se refiere a lo mismo. Y por lo que he visto (mira #67) tampoco es tan gravísimo. El problema principal es la gran mayoría de los teléfonos Android se quedarán así.
#47 Aún así, se pueden aprovechar de tu estado una vez te hayas empezado sesión con tu usuario y realizar acciones que no tienen por qué aparecer en la pantalla.
#78 Sí, pero la tarjeta de coordenadas física para hacer cualquier movimiento y tal... eso nop.
Jajajajajajajajaj y ahora van a tumbar la noticia los TaliAndroids.
Madre mia esta notícia es de Apple y llega al top de las más votadas de menéame. Como se os ve el plumero chatos
Uff, a desinstalar las APPs de los bancos y las tarjetas en el movil
#13 Hombre mi app del banco si no tienen la clave ni la tarjeta de coordenadas fisica...
#33 Si se adueña del movil, es posible que pueda ver cuando tecleas el pin. yo no lo se
#45 no, nunca te pide el pin completo y la tarjeta de coordenadas para los movimientos bancarios es fisica
Empieza a no ser ni noticia
Es igual o peor que esto!?
Si tienes un smarpthone Android, está en grave peligro y posiblemente lo esté siempre
Si tienes un smarpthone Android, está en grave pel...
xataka.comAnte esto creo que es injusto que los fabricantes anulen la garantía por rootear un teléfono cuando ellos no son capaces de liberar parches de seguridad. Con un teléfono rooteado lo podremos actualizar más rápido.
#50 Claro, es mucho más seguro para el usuario standard un teléfono rooteado 👌
#50 En realidad... yo creo que con estas cosas se podría reclamar al fabricante la devolución del dinero debido a un "fallo de diseño" que provoca un mal funcionamiento. Deberían devolverte el dinero o cambiarte el teléfono por uno que no tenga este fallo... pero como todos lo tienen...
Habría que organizarse para hacer una reclamación conjunta de miles de usuarios, a ver si así aprenden que deben actualizar sus terminales o dejar que Google los actualice.
Pásate a Android decían, tienes más libertad decían. Si, tú y todos porque es casa Pepe.
Pues que instalen Linux que es 100% seguro.. Oh, wait...
#19
100% de seguridad ni si quiera es posible de certificar con tu propia existencia. No hay nada seguro.
La estupidez del usuario medio es un obstáculo insalvable. Usa lo que creas más conveniente en seguridad. Después no llores.
Mucha casualidad que salgan este tipo de noticias justo cuando MS tiene a sus funboys de conejillos de indias con su W10.
#82 fíjate... es toda una conspiración. M$ pagó a Google para que dejaran un montón de agujeros de seguridad que dosificadamente han ido sacando.
Es la única explicación que se puede tener para que un sistema basado en Linux no sea invulnerable.
#88 Cuando acabes de probar w10, serias tan amable de darme un toque? Gracias. El
#85 no son usuarios físicos. Lo que pasa es que para el sistema Android cada app instalada es un usuario. Y como tales no tienen permiso para acceder a datos de otros usuarios (otras apps).
Android utiliza el viejo sistema de usuarios pensado para servidores multiusuario (muchas pantallas y teclados) para añadir seguridad a las aplicaciones.
Grande Android siempre a la vanguardia de la seguridad.
BlackBerry 10.3 me protege.
Esto es más viejo que el cagar. Yo una vez me bajé al móvil un MKV de un concierto de Pitbull y lo tuve que tirar.
Con un simple mensaje multimedia pueden acceder a tu movil!! Impresionante
#56 No. No pueden acceder. Pueden hacer que cuando abras un video se te cuelgue.
Problemas con windows? Solución del meneante: usa linux. Pues a usar iOS, aunque os escueza el ojal.
#60 Oye, que iOS ha tenido problemas tan graves como ganar acceso de root con sólo visitar una página. Lo han usado parahacer el jailbreak pero fácilmente podría usarse para tomar control total del teléfono. Y en iOS no existe separación por usuarios entre las aplicciones ni nada parecido a SEAndroid así que el problema es mucho más grave.
#76 para qué quiero tener más usuarios en mi iDevice? Son aparatos personales. La Game Boy tampoco tenía multiusuario.
¿Los que usamos CyanogenMod estamos jodidos también?
#58 Según el artículo, el fallo está en el AOSP así que sí. A no ser que CuanogenMod haga un parche por su cuenta, tendrán que esperar a que lo corrija Google. La solución debería ser tan sencilla como tocar una o dos líneas de código.
#74 Gracias por la respuesta ;*
Android por si mismo es una vulneavilidad y un atentado visual. Por no decir q de por si el os es un retraso por si mismo. Toda el "ecosistema" de apps da asco.