¿Que por qué volvemos a hablar de ese fallo de seguridad, cuando ya lo habíamos hecho anteriormente? La razón es simple: el fallo llega mucho más allá de lo que pensábamos, y un atacante puede aprovechar la vulnerabilidad para formar toda una botnet de dispositivos Android. En otras palabras, nuestro Android pasaría a ser un zombie a merced del atacante.
#2:
"Los consejos que os podemos dar desde aquí son los de siempre: no utilizar el navegador AOSP o navegadores web basados en AOSP, y precaución al entrar a páginas web desconocidas, más si se encuentran detrás de un acortador de enlaces."
O lo que es lo mismo, como dice #1 , ya es un zombi por defecto.
Llevo siguiendo Android desde las primeras versiones que se comecializaron para las tabletas, y siguen igual. y el navegador da igual si se usa el AOSP que trae por defecto o cualquier otro, el problema está en la API.
¿Existe alguna web a la qué tu accedas y en base a las cabeceras http del navegador (en donde suele estar la versión de android, del navegador e incluso del movil) te diga sí eres vulnerable, las vulnerabilidades y alguna prueba de concepto para demostrarte el ataque y lo qué pueden hacer?
Aquí una web que te dice el campo user agent http en el qué están todos estos detalles http://myhttp.info/ , seria algo que usase ese campo lo procesase y te dijese, tu movil es vulnerable a ... #0
Y claro después está que sí el fabricante desde su web no te ofrece una actualización, o una app para actualizarlo ¿Que haces?
"Los consejos que os podemos dar desde aquí son los de siempre: no utilizar el navegador AOSP o navegadores web basados en AOSP, y precaución al entrar a páginas web desconocidas, más si se encuentran detrás de un acortador de enlaces."
O lo que es lo mismo, como dice #1 , ya es un zombi por defecto.
Llevo siguiendo Android desde las primeras versiones que se comecializaron para las tabletas, y siguen igual. y el navegador da igual si se usa el AOSP que trae por defecto o cualquier otro, el problema está en la API.
#2 Hay montones de navegadores de terceros que no usan para nada el motor del browser de Android que es el que está afectado por la vulnerabilidad, por ejemplo tienes Firefox, o incluso sin ser de terceros, el propio Chrome de Google no lo usa, de hecho la 4.4 no está afectada porque cambiaron el navegador y pasaron a basarlo en Chromium que a su vez también es la base de Chrome.
El resto de aplicaciones que usen Webviews si que están afectadas, pero precisamente los navegadores son de los pocos que incorporan sus propios motores.
#7 Sí, el de firefox es el que usé en la última tableta que nos pasaron en el trabajo, pero empezaron problemas con el vídeo en html 5 y lo tuvimos que dejar (en la última actualización que han publicado no sé si ya lo han arreglado). Los demás son muy poco usables y no llegan a cumlir con lo mínimo para poder ser usados como navegadores habituales.
Cuando nos actualicen la tableta a la kitkat (que será ya para el mes que viene) prometo probar el Chrome, a ver qué tal
#9 yo siempre uso firefox de serie, ademas de que es bueno lo hago por su filosofia, si falla algo, chrome. Y tampoco es que falle(bueno o si) suele ser simplemente que un navegador implementa algo experimental que el otro no, o que uno lo hace de una manera y el otro de otra.
#3 ¿Qué haces? Comprarte uno nuevo. Ahí está la idea de no querer arreglar la fragmentación, para que te compres uno nuevo. Afortunadamente, todavía hay incluso cyanogen kit-kat para defy... con eso te lo digo todo.
#3 pues no lo se, tal vez lo haya pero seria interesante.
De hecho me plantearia hacerla si no supiese que se me iban a quedar vulnerabilidades por el camino.(Y ese es mi gran miedo al oficio de seguridad informatica, que por desconocimiento de alguna vulnerabilidad dejes a tu cliente expuesto, en este caso visitantes).
Lo que creo es que es una verguenza que ni siquiera se hable de actualizar el webkit... Entiendo que el sistema entero no se puede pero el webkit no deja de ser un programa.
Hoy estaba en la cola del medico para recoger el parte de baja. Había una cola enorme y en el mostrador iban llamando a los de la cola para que fuesemos pasando. Cuando le ha llegado el turno a un menda con los dos pulgares en el móvil y los auriculares puestos han estado un buen rato llamándolo, al final el que tenia detrás lo ha tenido que zarandear y señalarle que lo llamaban
Comentarios
El Androide Libre forma parte de ADSLZONE, no olvides el boicot por #StopFalsosAutónomos
QueJavierSanz y su equipo terminen con la explotación laboral y la represión sindical.
#10 ¿elandroidlibre pertenece al grupo adslzone? vaya no lo sabia.
¿Existe alguna web a la qué tu accedas y en base a las cabeceras http del navegador (en donde suele estar la versión de android, del navegador e incluso del movil) te diga sí eres vulnerable, las vulnerabilidades y alguna prueba de concepto para demostrarte el ataque y lo qué pueden hacer?
Aquí una web que te dice el campo user agent http en el qué están todos estos detalles http://myhttp.info/ , seria algo que usase ese campo lo procesase y te dijese, tu movil es vulnerable a ...
#0
Y claro después está que sí el fabricante desde su web no te ofrece una actualización, o una app para actualizarlo ¿Que haces?
"Los consejos que os podemos dar desde aquí son los de siempre: no utilizar el navegador AOSP o navegadores web basados en AOSP, y precaución al entrar a páginas web desconocidas, más si se encuentran detrás de un acortador de enlaces."
O lo que es lo mismo, como dice #1 , ya es un zombi por defecto.
Llevo siguiendo Android desde las primeras versiones que se comecializaron para las tabletas, y siguen igual. y el navegador da igual si se usa el AOSP que trae por defecto o cualquier otro, el problema está en la API.
CC/ #3
#2 Hay montones de navegadores de terceros que no usan para nada el motor del browser de Android que es el que está afectado por la vulnerabilidad, por ejemplo tienes Firefox, o incluso sin ser de terceros, el propio Chrome de Google no lo usa, de hecho la 4.4 no está afectada porque cambiaron el navegador y pasaron a basarlo en Chromium que a su vez también es la base de Chrome.
El resto de aplicaciones que usen Webviews si que están afectadas, pero precisamente los navegadores son de los pocos que incorporan sus propios motores.
#7 Sí, el de firefox es el que usé en la última tableta que nos pasaron en el trabajo, pero empezaron problemas con el vídeo en html 5 y lo tuvimos que dejar (en la última actualización que han publicado no sé si ya lo han arreglado). Los demás son muy poco usables y no llegan a cumlir con lo mínimo para poder ser usados como navegadores habituales.
Cuando nos actualicen la tableta a la kitkat (que será ya para el mes que viene) prometo probar el Chrome, a ver qué tal
#9 yo siempre uso firefox de serie, ademas de que es bueno lo hago por su filosofia, si falla algo, chrome. Y tampoco es que falle(bueno o si) suele ser simplemente que un navegador implementa algo experimental que el otro no, o que uno lo hace de una manera y el otro de otra.
#3 ¿Qué haces? Comprarte uno nuevo. Ahí está la idea de no querer arreglar la fragmentación, para que te compres uno nuevo. Afortunadamente, todavía hay incluso cyanogen kit-kat para defy... con eso te lo digo todo.
#3 pues no lo se, tal vez lo haya pero seria interesante.
De hecho me plantearia hacerla si no supiese que se me iban a quedar vulnerabilidades por el camino.(Y ese es mi gran miedo al oficio de seguridad informatica, que por desconocimiento de alguna vulnerabilidad dejes a tu cliente expuesto, en este caso visitantes).
Lo que creo es que es una verguenza que ni siquiera se hable de actualizar el webkit... Entiendo que el sistema entero no se puede pero el webkit no deja de ser un programa.
El caso es que para muchos el Android ya viene como zombie por omisión
Kit kat:
PD: necesitáis dos, que una sólo tiene 4 barras.
#6 Te doy el positivo sólo por lo malo que es el chiste
Eso es irrelevante, ya hay un zombie manejándolo.
Hoy estaba en la cola del medico para recoger el parte de baja. Había una cola enorme y en el mostrador iban llamando a los de la cola para que fuesemos pasando. Cuando le ha llegado el turno a un menda con los dos pulgares en el móvil y los auriculares puestos han estado un buen rato llamándolo, al final el que tenia detrás lo ha tenido que zarandear y señalarle que lo llamaban
Y el tempo de está vulnerabilidad perfecto, para la salida del iphone 6
Tirar, comprar, tirar, vender productos con vulnerabilidades y killer bugs
Los Estados Unidos furiosos con Israel después que este país vendiera alta tecnología militar a China [ENG]/c12#c-12
No todo es obsolescencia programada, también está la teoría de la calidad total de Deming/c99#c-99
Los piratas de la prensa/c28#c-28
Así funciona el futurista sistema de visión del F-35 en pleno vuelo/c8#c-8
https://www.meneame.net/search.php?q=tirar comprar