elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Vulnerabilidad de Android hace posible el robo de datos
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Vulnerabilidad de Android hace posible el robo de datos  (Leído 2,890 veces)
T0rete
Colaborador
***
Desconectado Desconectado

Mensajes: 4.926


Ver Perfil WWW
Vulnerabilidad de Android hace posible el robo de datos
« en: 26 Noviembre 2010, 14:14 pm »

El experto británico en seguridad informática Thomas Cannon ha detectado una vulnerabilidad grave en el navegador distribuido junto a Android, que hace posible acceder a los datos de la tarjeta de memoria del sistema. Aunque revela el agujero de seguridad, Cannon ha acordado con Google no revelar los detalles.

Diario Ti: En su blog, Thomas Cannon, escribe que la vulnerabilidad general de Android permite que un sitio web malicioso obtenga el contenido de cualquier archivo almacenado en la tarjeta SD. También hace posible recuperar un número limitado de datos y ficheros almacenados en el teléfono utilizando la vulnerabilidad.

La vulnerabilidad ocurre debido a una combinación de factores. A petición de Google, Cannon explica la vulnerabilidad sin proporcionar los datos que permitan explotarla.

El navegador de Android no solicita el usuario al descargar un archivo, por ejemplo "payload.html" , sino éste se descarga automáticamente a /sdcard/download/payload.html. Al abrir un archivo HTML dentro de este contexto local, el navegador de Android ejecuta javascript sin preguntar al usuario.

Luego, una vez el código que javascript obtiene el contenido de un archivo transmite los datos al sitio web malicioso. Se trata de una simple explotación de la participación y redirecciones javascript, lo que significa que también debería funcionar en teléfonos móviles y múltiples versiones de Android..

Cannon destaca que uno de los factores limitantes es que el intruso debe saber el nombre y la ruta del archivo que desea robar. Sin embargo, una serie de aplicaciones de usan una nomenclatura coherente para el almacenamiento de datos, lo que facilita las cosas al webmaster intruso.

Cannon demuestra la vulnerabilidad en éste vídeo, donde se utiliza el emulador de Android con Android 2.2 (Froyo). En la demo se crea un archivo en la tarjeta SD del dispositivo Android y luego se visita la página maliciosa que toma el archivo y lo sube al servidor de forma automática.

Cannon elogia a Google, ya que su "Android Security Team" le respondió en solo 20 minutos. La empresa creó inmediatamente un parche, aunque la solución definitiva será distribuida junto a la próxima versión de Android, Gingerbread.

Fuente:http://www.diarioti.com/gate/n.php?id=28184


« Última modificación: 26 Noviembre 2010, 14:46 pm por T0rete » En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Vulnerabilidad de Android hace posible el robo de datos
« Respuesta #1 en: 26 Noviembre 2010, 14:38 pm »

¿Soy yo, o se le ha ido un poco más de info de la que debería?
Creo que sería cuestión de probar que un par de objetos javascript funcionan sin "quejas" en Android y listo :-X

Saludos


« Última modificación: 26 Noviembre 2010, 14:41 pm por Novlucker » En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
T0rete
Colaborador
***
Desconectado Desconectado

Mensajes: 4.926


Ver Perfil WWW
Re: Vulnerabilidad de Android hace posible el robo de datos
« Respuesta #2 en: 26 Noviembre 2010, 14:44 pm »


Citar
Cannon ha acordado con Google no revelar los detalles.

La verdad es que si llega a contarlo todo nos da la marca de cafe que se tomaba mientras descubria la vulnerabilidad.

Supongo que omite un detalle o condicion fundamental que debe de darse para que funcione.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Zeus, Android y el robo información
Noticias
putus 1 3,864 Último mensaje 13 Julio 2011, 03:30 am
por seba123neo
Memoria USB hace posible secuestrar Windows
Noticias
wolfbcn 0 2,535 Último mensaje 13 Marzo 2013, 13:44 pm
por wolfbcn
Una vulnerabilidad en la página de Telecom Italia provoca el robo de datos
Noticias
wolfbcn 0 2,041 Último mensaje 20 Julio 2013, 16:59 pm
por wolfbcn
Home Depot investiga posible robo de datos
Noticias
wolfbcn 0 3,365 Último mensaje 3 Septiembre 2014, 21:14 pm
por wolfbcn
Ticketmaster admite hackeo y posible robo de datos bancarios de usuarios
Noticias
wolfbcn 0 3,160 Último mensaje 27 Junio 2018, 20:44 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines