Portada
Hace 13 años | Por AunEstoyAqui a hispasec.com
Publicado hace 13 años por AunEstoyAqui a hispasec.com

Grave fallo de seguridad en Android 2.2

 hispasec.com

El fallo, descubierto por Thomas Cannon, reside en que el navegador, al visitar una página web, podría tener acceso a cualquier fichero del usuario siempre que conozca su ruta exacta. Esto no es problema, por ejemplo, para obtener fotografías realizadas por el dispositivo, puesto que el nombre de archivo consta de un número incrementado secuencialmente. El atacante no puede acceder a ficheros de sistema porque el navegador corre dentro de una sandbox.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2.3k 47

Comentarios

Cart

Sin embargo, cuando hay un fallo en Android lo que hay que aguantar son 49000 post diciendo que si el mismo fallo tuviera lugar en iPhone la gente diría otras cosas.

V 23
K 134
Toranks

#11 #12 #13 y demás: Trolls, qué poco originales sois. Hasta criticando a Windows hay más arte.

V 4
K 10
D

#16 Tú a lamer gatos.

V 8
K 29
tachyon
editado

#17

V 0
K 6
Toranks

#17 Eso hago. Y tú a trollear a forocoches, que es más de tu nivel.

V 0
K 10
D

#16 ¿Trolls? De eso nada. Fanboys de la manzanita, que están a la que salta.

V 1
K 4
Cart

#16 ¿Eso a que hostia viene?
Joder, ni siquiera había ironía. Estaba criticando a la gente que decía que si el fallo fuera en iPhone habría 10.000 personas criticando...

V 2
K 21
frankiegth
editado

Para #12. El iPhone es una puta mierda. No me crees??? Intenta cambiarle la batería por tu cuenta. Ayer vi un tutorial sobre como intentar hacerlo en casa (la página advierte que es un trabajo que requiere un cuidado extremo) :

http://www.ifixit.com/Guide/Repair/Installing-iPhone-3G-Battery/577/1

Recuerda darle al boton NEXT para continuar viendo el artículo.

'Si no puedes repararlo, no es tuyo.' Eso reza la filosofía de la página que acabas de visitar, y estoy completamente de acuerdo. La gente que compra todos los artilugios de mano de Apple se olvida completamente de que las baterias han de cambiarse cada cierto tiempo porque el diseño plano y hermético de los dispositivos les ciega.

Te das cuenta de que es un producto pensado para depender exclusivamente de los servicios técnicos oficiales de Apple. Este tipo de diseños en el pueblo de mi madre se les llama diseños 'de mala fe'. Mi reproductor MP3 sin marca funciona con una pila normal y no lo cambio por nada.

V 5
K 33
ecentinela

#38 nunca me ha hecho falta cambiar la batería de ninguno de mis móviles, portátiles, etc. Así que ya ves tu que perdida...
En cambio el navegador lo uso todos los días.
Lo peor de todo esto es que como comentaban mas arriba, las actualizaciones depender de fabricantes y/o operadoras (gran lastre en android), así que toca esperar (como antiguo usuario de htc hero, añado, MUUUUUCHO) y eso en los casos en los que os lancen la actualización, que seguro que no será para todos los terminales (el otro lastre de android).

V 0
K 6
frankiegth
editado

Para #39. La pérdida es, entre muchas otras, ecológica, tanto en contaminación generada como en consumo de recursos naturales (coltán entre otros muchos) para su fabricación. Y no, no estoy exagerando. La cantidad de tecnología que funciona y se tira a la basura en la actualidad es inmensa. En el caso de muchas personas el acceso económico y facil instalación de una batería nueva para teléfonos moviles hubiera dado funcionalidad a millones de telefonos el doble y el triple de tiempo de vida actual de un movil. Creo que es tiempo de tomar conciencia de ello de una vez por todas; lo bueno de esta crisis es que la bajada del consumo obligada mejorará la ecología de nuestro mundo sin pretenderlo.

Yo uso el movil solo para llamar, para navegar solo uso y usare PC, no pienso pagar por cantidad de datos descargados en mi vida. Sin tarifas planas internet no sería lo que es hoy en día, pero parece que tanto muchos usuarios de telefonía movil como operadoras de telecomunicaciones prefieren olvidarlo.

V 1
K 15
frankiegth
editado

Para #39. Creo que mi comentario #40 guarda una estrecha relación, que muchos consumidores parecen no alcanzar a ver, con mi comentario #38.

V 0
K 9
Cart

#38 Joder, ¿Tan mal me expreso? ¿De dónde sacas que estoy apoyando al iPhone en mi comentario?

V 0
K 6
frankiegth
editado

Para #42. Eso no era la importante, lo importante era establecer una diferencia entre el iPhone y otras opciones posiblemente mucho más comprometidas con sus clientes.

V 0
K 9
angelitoMagno

No es grave porque ha sucedido en Android. Si fuera en iOS sería un fallo horripilante.

V 35
K 120
t

#7 o una feature, según quién lo mire.

V 24
K 203
D

#7 I notified the Android Security Team on 19-Nov-2010 and to their credit they responded within 20 minutes, took it seriously, and started an investigation into the issue. They have since updated me to say they are aiming for a fix to go into a Gingerbread maintenance release after Gingerbread (Android 2.3) becomes available. I have been advised that I can also mention an initial patch has already been developed, which is being evaluated.


He ahí la diferencia.

V 23
K 206
D

#7 te mereces un negativo por soltar tal burrada, los que te han votado positivo son usuarios iphone!

V 1
K 13
vicvic

#20 Eh que yo uso Windows Mobile eh lol No creo que sea una burrada lo que ha dicho..

V 2
K 23
Zabir
editado

#20 O asiduos de menéame que saben cómo va esto. Por cierto, uso Nokia.

V 4
K 50
palitroque

#20 Yo uso Android y escribo desde un Mac..

V 2
K 28
tachyon

#29 Igual que yo.

V 1
K 13
alb2m
editado

#29 #30 y yo!

V 1
K 16
Benzo

#29 #30 #31 y yo! no.

V 1
K -3
ducati
editado

#29 #30 #31 Y yo!!!
HTC Desire y macbook blanquito

V 1
K 18
palitroque

#46 idem ..un G5 del año catapum

V 0
K 12
Tom__Bombadil
editado

#7, #11 También si fuera iPhone la solución de Steve Jobs sería que "pruebes a no entrar a esa página" y ya está. Al menos Google solicita que investiguen sus fallos.

V 0
K 9
d

Si, pero iOS petaba con el cambio de hora... vais a comparar.

V 6
K 40
D

#2 es verdad, al fin y al cabo que alguien pueda robar toda la información de tu móvil y subirla a un servidor desconocido, no es pa tanto.
Eso si, llega a ser esto con el iOs, nos cagamos en la puta madre de Apple.

V 3
K 33
maikl

El problema es que para actualizar la versión o poner el parche tendran que pasar antes por las operadores, y ya sabemos lo rápido que lo hacen.

V 2
K 24
D
editado

Un fallo bastante gordo la verdad...

#0 Deberías especificar en el titular que es un fallo grave.

V 1
K 19
Locodelacolina

#1 No creo yo que sea para tanto, personalmente no lo veo tan catastrófico...

V 2
K -4
AunEstoyAqui
autor
editado

#2 que se puedan llevar las fotos que tienes en el movil sin que te des cuenta si que me parece grave.
#1 Fixed

V 2
K 22
sid

#3 Deberia verse como afecta , requiere la url correcta,se tendira que ver si a al fuerza bruta podrias obtener todos los fichros de un directorio por ejemplo.Aun asi subir ficheros si autorizacion del usuario directamente desde el javascript no es una buena politica de serguridad

V 0
K 10
Locodelacolina
editado

#2 Si que acepto la gravedad del fallo de seguridad, lo que no me parece bien es añadir grave al titular ya que el artículo no especifica la gravedad, simplemente indica que es un fallo.

editado:
Aunque es tu noticia y tienes todo el derecho a publicarla como creas que es debido.

V 1
K 16
Locodelacolina
editado

#4 #2 #1 No he dicho nada, en la descripción del fallo no lo tilda de grave, pero si en el titular del enlace.

Mis disculpas.

V 0
K 10
NoBTetsujin

Joer, iba a entrar a opinar un poquillo, pero visto lo visto, me alegraré de usar Opera y pasando de decir mas, que os veo calentitos.

V 1
K 16
D

juas... pues me voy a alegrar de que no haya salido Android 2.2 para mi HTC Legend todavia lol

ains...

V 1
K 14
aluchense

Pues a usar dolphin, mira tú que problem...

V 1
K 13
Candidatas
33
meneos
cultura ‘Lucrecia: Un crimen de odio’; un documental sobre todos los “contextos” que hicieron posible el asesinato
25
meneos
actualidad "Ya no puedo justificar esta operación militar": los reservistas de las FDI que se niegan a regresar a Gaza
18
meneos
ocio Amenazas
32
meneos
artículos Adiós, amigo
29
meneos
actualidad "Hablar de derechos laborales no está de moda": un trabajador de las Big Four describe las largas jornadas y cómo puede cambiar
71
meneos
ciencia Los científicos del rover Perseverance de la NASA encuentran una intrigante roca en Marte (eng)
34
meneos
ocio El Kanka - Que bello es vivir
35
meneos
ciencia Neurólogos de Stanford hallan el origen de las experiencias que tenemos antes de morir
21
meneos
cultura La vía Apia declarada Patrimonio de la Humanidad sin necesidad de debate
16
meneos
ocio Desfile no televisado
35
meneos
tecnología La videovigilancia masiva con IA durante los Juegos Olímpicos de París, una pesadilla para la privacidad según los activistas
27
meneos
actualidad Desaparece una joven vasca en Panamá en la misma zona donde se ha encontrado un cadáver
15
meneos
actualidad Los anfitriones de Airbnb se forran en París este verano mientras los hoteles sufren y la crisis de la vivienda se ceba
28
meneos
mnm El fin de la #papagorda: Sevilla se adelanta y pone coto a difundir vídeos de borrachos en la Feria
18
meneos
actualidad El cómic de Terry Crews sobre la secuela de Idiocracy revive a su personaje del presidente Camacho (Eng)
35
meneos
actualidad La NASA dice que aún no hay fecha de retorno para los astronautas varados en la estación espacial
D
editado

Solucion temporal; en lugar de usar el navegador integrado usar: Opera, Dolphin u otro de los tres o cuatro más que hay, luego actualizas (cuando salga el update) y listos.

V 0
K 11
l

Pues na, usaré Opera Mini. Pero vaya fallo... espero que CyanogenMod haga una actualización rápido

V 0
K 7
D

si todos teneis un macbook que tiene como SO Windows 7 y un Nexus One con IOS...

V 1
K -3
D

Anda que si llega a ocurrir en iPhone, tendríamos que aguantar 50000 posts hablando tonterías. Pero como es Android, pues aquí no ha pasado nada.

V 16
K -36
t

No lo entiendo... es software libre, es más seguro, se supone que hay mucha gente mirando el código para que estas cosas no pasen.

V 13
K -72
Cart

#13 Claro que sí, la gente se imprime el código y se sienta cómodamente a leerlo como quien lee a Tolstoy.

V 12
K 74
mzneverdies

#13 por eso han descubierto el fallo, lo han publicado, y ahora alguien lo arreglará.

en un sistema cerrado, solo podrian suponer la causa del fallo sin estar seguros de ello, tratarian de avisar a la compañia que lo desarrolla, la cual posiblemente no escucharia, y esta compañia tendria que poner a alguien a trabajar para arreglarlo, y luego publicarlo en una actualizacion.

con el modelo del software libre esta claramente localizado el fallo, cualquiera puede preparar un parche que lo solucione, y eso si, tambien nos toca esperar a la actualizacion, pero eso es culpa de las operadoras, si tienes rooteado el telefono podrias actualizar a una rom corregida.

V 16
K 130
D
editado

#13 no, no es más antiguo, el browser de android 2.2 es un software muy reciente. Posiblemente las prisas por sacar nuevas caracteristicas en la competicion con otras plataformas sean las que hacen que pasen estas cosas.

Por muy software libre que sea hay que tener en cuenta que posiblemente no hay demasiada gente fuera del equipo de google tocando el código porque simplemente no surge la necesidad.

V 0
K 9
D
editado

#13 Eso es un argumento que escucha mejor de lo que realmente es. Todo el mundo no es programador, y si realmente fuera el caso todo el mundo no estaria lo suficientemente capacitado para detectar un fallo en el fuente del programa antes de que suceda.

V 0
K 6