viernes, 2 de marzo de 2012
Fallo de seguridad en IOS y android
Apple tiene una brecha de seguridad que permite a los desarrolladores acceder a tus fotos personales. Pero el problema no lo tienen solamente los iPhone, sino que los móviles con Android también están afectados con una vulnerabilidad similar, que afecta de igual manera a las imágenes privadas que tengamos almacenadas. En el caso de iOS, los desarrolladores podían acceder a la biblioteca de fotografías cuando se le otorgaban permisos especiales (geolocalización) a ciertas aplicaciones. En Android, la cosa no pinta mejor. Este tipo de aplicaciones ni siquiera necesitan permiso para acceder a las fotografías. Un permiso estándar para acceder a Internet por parte de la aplicación, sería suficiente para que puedan hacer una copia de tus fotografías a un servidor externo. La vulnerabilidad está ahí, pero al igual que con iOS, no está claro si alguna aplicación disponible actualmente para Android está haciendo esto. Kevin Mahaffey es el director de Lookout, una empresa que desarrolla software de seguridad para Android. Podemos confirmar que no se requiere un permiso especial para que una aplicación acceda a tus fotografías. Esto se ha dado en todos los dispositivos que hemos analizado. Un portavoz de Google dice que la falta de restricciones para acceder a las fotografías fue un diseño relacionado con la manera en la que los primeros Android almacenaban la información. Originalmente diseñamos el sistema de imágenes de Android de manera similar a como lo hacían otros sistemas como Windows y Mac OS. En ese momento, las imágenes podías almacenarse en tarjetas SD, haciendo muy sencillo que alguien quitara la tarjeta del teléfono y la pusiera en el ordenador para ver las fotos. Sin embargo los teléfonos y las tablets han evolucionado hacia un almacenamiento no basado en tarjetas, con lo que hemos tenido que cambiar la visión y considerar el añadir un permiso para que las aplicaciones accedieran a las imágenes. Pero siempre hemos tenido políticas para eliminar cualquier aplicación del Android Market que accediera a tus datos de manera indebida. Para demostrar las vulnerabilidades de los dispositivos con Android, Ralph Gootee, un desarrollador de la compañía Loupe, realizó algunas pruebas instalando una aplicación que parecía simplemente un temporizador. Durante la instalación, apareció una notificación preguntando por un permiso para acceder a Internet, pero nada relacionado con las imágenes. Una vez iniciada, la aplicación accedió a la biblioteca de fotos, recuperando la imagen más reciente y subiéndola automáticamente a Internet. Las fotos son una de las cosas más personales. Estoy realmente impactado sobre esto. Esa prueba tan sencilla revela cómo cualquier aplicación con acceso a Internet, puede fácilmente copiar las imágenes de los móviles de los usuarios y subirlas a Internet. En Android Market, los usuarios pueden avisar sobre aplicaciones sospechosas, y Google podría incluso eliminarlas. La compañía también dice que hay un sistema de seguridad llamado Bouncer que simula el funcionamiento de las aplicaciones para intentar con ello descubrir funcionalidades ocultas. Sin embargo, Androide Market permite a cualquier publicar sus propias aplicaciones, con lo que muchas de las malas llegan a los usuarios finales. Ashkan Soltani, un investigador especializado en privacidad y seguridad, dice que esta vulneración equivale a que te vendan un coche con cerraduras en las puertas pero no en el maletero. Los usuarios generalmente dan por hecho que se tiene cuidado al desarrollar estas plataformas y que su información personal se maneja con cuidado. Sin embargo, parece que esta afirmación ha demostrado repetidamente ser falsa. Vía | New York
Suscribirse a:
Enviar comentarios (Atom)
-
Panóptico - Herramienta de pruebas de penetración para la caza vulnerabilidades LFI Panóptico es una herramienta que busca en los ...
-
Panóptico - Herramienta de pruebas de penetración para la caza vulnerabilidades LFI Panóptico es una herramienta que busca en los archivos c...
-
Carta abierta de Google, Apple, Facebook, Microsoft, Twitter y demás han enviado a Obama En el blog de Google han publicado la car...
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias