elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Nueva vulnerabilidad detectada en el módulo InMobi de Android		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Nueva vulnerabilidad detectada en el módulo InMobi de Android  (Leído 1,113 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.663



Ver Perfil WWW
Nueva vulnerabilidad detectada en el módulo InMobi de Android
« en: 29 Noviembre 2013, 13:18 pm »
Un grupo de investigadores ha detectado recientemente una nueva y peligrosa vulnerabilidad que afecta a Android y que puede llegar a permitir llegar a obtener el control completo del dispositivo sin permiso del usuario. Esta nueva vulnerabilidad se encuentra dentro del módulo InMobi, un SDK utilizado por más de 2000 aplicaciones de la Play Store que permiten insertar contenido publicitario en las aplicaciones, una alternativa a AdSesnse de Google.

InMobi es un SDK legal y legítimo para Android que se utiliza para incrustar contenido publicitario en las aplicaciones, aunque los usuarios que lo utilizan han tenido que añadir en los permisos de las aplicaciones el acceso a bastantes datos personales de los usuarios que, con esta vulnerabilidad, pueden ser explotados.

Un usuario que utilice una aplicación con el SDK de InMobi puede ser víctima de un ataque que permita al pirata informático tomar el control completo del dispositivo, por ejemplo, para robar los datos de este, enviar mensajes SMS Premium, publicar contenido en las redes sociales sin permiso explicito, etc.

Un aspecto que debe preocupar es que estas aplicaciones han sido descargadas en total más de 2.000 millones de veces, por lo que el peligro ante esta vulnerabilidad es muy grande. Los ataques se realizarían a través de la inserción de código en javascript que, correctamente programado, dotaría al atacante de un control total del smartphone, dentro de los permisos que tenga aceptados la propia aplicación.

Los permisos que pueden ser explotador con esta vulnerabilidad son:

    createCalendarEvent permite la creación de eventos en el calendario de Android
    sendSMS permite el envío de SMS a números de tarificación adicional (el permiso más peligroso).
    postToSocial permite publicar contenido en las redes sociales sin permiso.
    takeCameraPicture permite tomar fotos con la cámara del smartphone o tablet.
    getGalleryImage permite el acceso a las fotos guardadas en el dispositivo

Los desarrolladores de InMobi han publicado ya una actualización de su SDK que soluciona estas vulnerabilidades por lo que los desarrolladores de las aplicaciones de Android deberán volver a compilarlas con el nuevo SDK para solucionar esta vulnerabilidad. También, el nuevo SDK bloquea las llamadas sin permiso del usuario, una medida más para aportar algo más de seguridad a las aplicaciones.

Fuente: FireEye

http://www.redeszone.net/2013/11/29/nueva-vulnerabilidad-detectada-en-el-modulo-inmobi-de-android/
En línea
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Detectada una vulnerabilidad en VLC
Noticias 		wolfbcn 0 1,449 Último mensaje 1 Febrero 2011, 02:52 am
por wolfbcn
Detectada una vulnerabilidad en el sitio web de Whatsapp
Noticias 		wolfbcn 2 2,024 Último mensaje 13 Septiembre 2012, 22:46 pm
por Servia
HP soluciona la vulnerabilidad detectada en sus impresoras
Noticias 		wolfbcn 0 1,268 Último mensaje 14 Marzo 2013, 13:45 pm
por wolfbcn
Vulnerabilidad clickjacking detectada en Linkedin
Noticias 		wolfbcn 0 1,388 Último mensaje 15 Julio 2013, 14:50 pm
por wolfbcn
Descubri una nueva vulnerabilidad en el sistema de antirrobos de android
Dudas Generales 		hackermous87 3 2,197 Último mensaje 10 Abril 2017, 09:32 am
por hackermous87
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines