Cloak & Dagger son una nueva clase de posibles ataques que afectan a los dispositivos Android. Estos ataques permiten a una aplicación malintencionada controlar completamente el bucle de retroalimentación de la interfaz de usuario asumiendo el control del dispositivo, sin dar al usuario la oportunidad de notar la actividad maliciosa. Estos ataques sólo requieren dos permisos que, en caso de que la aplicación se instale desde la Play Store, el usuario no necesita conceder explícitamente y por lo que ni siquiera se le notifica.
Comentarios
Detalle importante en la sección de 'revelación'.
May 19th, 2017 — The a11y team confirms the a11y-related issues we reported as "won't fix".
Hacen bien en publicarlo pues.
#1 Verás como ahora lo ponen como "blocker"
#1 ultimamente las empresas son muy dadas a marcar las vulnerabilidades como "wont fix". No puedes hacer disclosure porque el programa de bugbounty lo prohibe, y de repente... en la siguiente version aparece solucionado
La gravísima vulnerabilidad es reportada hace un año, y Google sigue dando largas. Les hacen el trabajo gratis y lo desprecian.
La Play Store se está convirtiendo en un lodazal donde instalar una app cualquiera puede comprometer tu seguridad.
Deberían aparecer TODOS los permisos que va a necesitar una app antes de instalarse, y luego que cada cual asuma los riesgos.
#6 pero eso es porque los clientes lo quieren así, no quieren que sea como la App Store de Apple. Yo prefiero que google haga como apple, porque total, en android puedes instalar software desde fuera de la tienda. En fin, es otra de las razones por las que me pasé a iOS.
#6 Lo mejor de todo es cuando una app cambia de dueños, y en la siguiente actualización se convierte en malware que te comes con patatas. Es otro problema gravísimo, por el que poco, o nada, se hace.
#6 a Google el core de Android se las sopla ya con Fuchsia en camino de reemplazarlo. No sé como ira el tema, pero esto demuestra el desencanto de Google con Android tal y como lo conocemos.
Un virus de verdad es la tienda de apps de Amazon. Empezó siendo una cosa con un tamaño contenido. Luego le cambiaron el nombre a Amazon Undergraund y te incluía toda la tienda de Amazon.
El otro día me empezó a desaparecer memoria de almacenamiento interno del dispositivo a lo bestia y yo como loco intentando averiguar qué pasaba. Pensaba que tenía un virus.
Descubrí con la app DiskUsage una carpeta llamada apk llena de apks. Resulta que la tienda de Amazon se estaba intentando actualizar y descargaba por su cuenta la actualización. Luego preguntaba si querías actualizarla. Yo siempre le decía que no. Luego volvia a bajarse la actualización y a preguntar. Así cada vez se comía 44 MB. Guardaba cada vez una apk con un nombre en función de la fecha y hora y no borraba la anterior.
Al final la actualicé, pero resulta que si inicias sesión te engulle directamente 108 megas de memoria interna del dispositivo. Da igual que la pases a la SD. ¿Par qué narices quiere 108M de almacenamiento del dispositivo?. Lo dicho, un virus.
#32 Sí, es verdad . Pero lo puse así para hacer ver que también es una frase hecha.
Pedazo feature.
Ay, qué recuerdos de los tiempos cuando el "Cloak & Dagger" era sólo un videojuego de Atari...
📷
#4 ... "Capa y espada" seguro que era muchas más cosas.
Por ejemplo, un verso de "Love Minus Zero" de Bob Dylan:
The cloak and dagger dangles, madams light the candles
#7 Capa y
espadadaga (o puñal)#4 para mi siempre han sido unos superheroes de Marvel
#4 también es un cómic de Marvel...
#13 Por si no lo sabes LineageOS es la continuación de CyanogenMod, después de que la marca cerrase. Sólo cambia el nombre.
Igual te conviene probar esta aplicación, que ha salido hace poco y debe de ayudar a instalar fácilmente ROMs oficiales y no oficiales en móviles Xiaomi: https://forum.xda-developers.com/mi-5/how-to/tool-xiaomitool-xiaomi-rom-changing-easy-t3627081
#15 Creo que tiene aún mas alcance de terminales que Cyanogen, al menos en los antiguos. Es la impresión que me dió la ultima vez que lo miré. Y creo que son equipos diferentes, aunque habrá bastantes integrantes comunes (el 20% de la plantilla que despidieron al menos). La historia tiene su miga:
https://www.movilzona.es/2017/01/15/actualidad-rom-de-cyanogenmod-a-lineage-os-historia-de-la-rom-android-mas-famosa/
Pero si Linux es invulnerable!
#14 Igual si los fabricantes de móviles y Google no se hubiesen montado este desastre de no poder instalar el SO que a mi me de la gana en cualquier móvil sin depender de ellos para actualizar no tendríamos estos problemas que en Linux para PC simplemente no existen o se solventan en cuestión de MINUTOS.
#27 claro claro. Se me olvidaba que Linux es divino
#14 ¿Es que no has leído ni la entradilla? Es un fallo en el código de la interfaz de usuario, no del kernel.
#31 vaya, así que a través de la interfaz de usuario puedes tocar cosas del kernel? Vaya una mierda de aislamiento
#33 No, pero puedes realizar acciones como instalar otras aplicaciones o interceptar lo que escribe el usuario.
El kernel se encarga de cosas más cercanas al hardware y por defecto el acceso root viene deshabilitado.
#14 El sistema de permisos de Android es completamente propio y no tiene nada que ver con Linux ni con las distros ni con GNU.
El código que ejecuta la interfaz de usuario, todas las librerías java e incluso C son propios y exclusivas de Android.
Incluso varios demonios del sistema, aún teniendo alternativas de GNU o de las distribuciones, optan por implementaciones propias, menos pesadas o adaptadas al interés de Google.
Todos los que salís con es tontería cada vez que se anuncia una vulnerabilidad de Android deberíais saber el ridículo que hacéis. Tanto Linux como los programas habituales de las distribuciones tienen sus problemas de seguridad. Pero no vienen a cuento aquí ni se pueden contabilizar de la misma manera.
Android demuestra la utilidad y aumenta la cuota de uso de Linux, pero no afecta ni refleja la seguridad de ningún otro sistema operativo basado en Linux.
No entiendo esa adicción a instalar boludeces en el Android, y menos en el celular que lo más incómodo que puede haber para casi cualquier cosa.
La solución para esto es no instalar aplicaciones maliciosas, no tiene la misma gravedad que el bug de libstagefright que era explotable enviando un simple mensaje.
#23 Con lo fácil que es configurar el sistema para evitar este problema
A mi me da igual, yo le hecho XIAOMI....
y los chinos son muy terroritoriales, supongo que cuidaron eso
A lo tonto chinos ya se han "sacado"... desde mi huella dactilar, a os latidos de mi corazon con la Chocho mi Ban
Horarios de sueño..
Pasos.. localicion.. uy uyy uy
Hasta nosecuantos gigas en fotos que ha decido subir a la nube de "chochomi".... SIN que yo le diga nada.
Y no se ni como quitarlo
Tambien mis llamadas de telefono desde el dia que lo compre...
Mi esperanza y "poltica de seguridad" es que al bobierno chino no le interese mucho.. .
(y que chochomi no los venda) por lo demas inmejorable terminal y "versiond" Android
#5 tienes 5 años?
#9 5 y medio!
#5 Métele LineageOS.
#11 me suena ligeramente, lo busco! Pero tengo malas experiencias con intentar liarme a cambiar ROMS y que lo tuviera que rescatar my brotha
Aunque es brutal lo del espionage y si que me interesa cualquier solucion!
#11 ¡¡ tguau! es de este mes!!
Estoy! estoy leyendo el link a ver que fallos tiene por ahora y tratar de ver las diferencias
Como siempre, lo que preocupe es esto, pero vaya..
- Can my device get bricked?
yes, but with very small probability
Sigo curiosenado el link, por que mola que haya solucion a medio plazo para salir de la ROM oficial y el turboespionage! 😝 ¡hanks!
#5 Tu forma de escribir me recuerda a un tal "parpadeo ... no se que" que andaba por aquí hace poco que parecía que le estaba dando un ictus mientras posteaba.
#18 Quizá es un tipo de IA nueva que escribe en birmano y usa altavista para traducir los textos. Quién sabe. La verdad es que se hacen complicados de leer sus comentarios.
#18 Está fichado: Mariannet[darktdeSorosYa] y parpadeo1.[HamelinMinimalMeneGreatAgainTheTrumPodemitThePostPodemit]