Encontrada una nueva vulnerabilidad en tu Android.

actualizarmovilandroid Encontrada una nueva vulnerabilidad en tu Android

  

Tremendo sino el de Android: desconfiar siempre de la seguridad

Una nueva vulnerabilidad que afecta a los dispositivos móviles Android no proviene de un error tradicional, sino de la combinación maliciosa de dos permisos legítimos que potencian las funciones deseables y comúnmente utilizadas en las aplicaciones más populares.

La combinación podría resultar en una nueva clase de ataques ya que se corresponde con una nueva vulnerabilidad, que ha sido bautizado como “Cloak and Dagger” (Capa y Espada).

Esta vulnerabilidad, que fue identificada y probada en entornos cerrados por científicos informáticos en el Georgia Institute of Technology, permitiría a los atacantes tomar silenciosamente el control de tu dispositivo móvil, superponiendo la interfaz gráfica con información falsa para ocultar las actividades maliciosas que se realizan debajo, como capturar contraseñas o extraer los contactos del usuario. Un ataque exitoso requeriría que el usuario primero instale un tipo de malware que podría estar oculto en un juego pirateado u otra aplicación.

“En la vulnerabilidad que nosotros llamada Cloak and Dagger, identificamos dos características diferentes de Android que cuando se combinan, permiten a un atacante leer, cambiar o capturar los datos introducidos en aplicaciones móviles populares“, dijo Wenke Lee, profesor de la Escuela de Informática de Georgia Tech y Director del Instituto de Seguridad para la Información y Privacidad. “Las dos características implicadas son muy útiles en las aplicaciones de mapas, chat o de administrador de contraseñas, por lo que evitar su uso indebido requerirá que los usuarios cambien comodidad por seguridad. Es un ataque extremadamente peligroso”.

La investigación sobre esta nueva vulnerabilidad en Android fue patrocinada por la Fundación Nacional de Ciencias (NSF), la Oficina de Investigación Naval (ONR) y la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA).

La primera característica de esta vulnerabilidad de permiso implicada en el ataque, conocida como “BIND_ACCESSIBILITY_SERVICE”, incide en el uso de los dispositivos por personas discapacitadas, permitiendo entradas como nombre de usuario y contraseña por comando de voz y permitiendo que salidas como un lector de pantalla ayudando a ver contenido. El segundo permiso, conocido como “SYSTEM_ALERT_WINDOW”, es una función de superposición o “dibujar en la parte superior” que crea una ventana en la parte superior de la pantalla habitual del dispositivo en la que muestra burbujas para un programa de chat o de mapas para una aplicación de paseo compartido....LEER NOTICIA COMPLETA.