Son muchas las vulnerabilidades que están apareciendo estos días tanto para Android como iOS: aplicaciones troyonizadas, StateFright, …
Para aquellos preocupados por la seguridad de sus terminales móviles (o que quieran empezar a estarlo), les recomiendo instalar la aplicación VTS for Android (click para ir a Google Play) que, pulsando el único botón que trae, os permitirá conocer cuántas vulnerabilidades pueden ser utilizadas para hackear vuestro teléfono (y os aseguro que son varias las que aparecerán con toda seguridad).
Desde aquí «retaros» a instalar VTS y comentar cuántos fallos os ha detectado (para ir creando conciencia y buscar patrones entre todos)
En mi caso, estos son los problemas detectados… ¡ya tengo trabajo pendiente! (uuufff, y yo viendo «Person of Interest» ;))
Informático de Guardia 
Grandísima serie, la de Person of Interest.
Éste es el mismo problema, que había con el entorno Windows.
La formación del usuario no importa, instalamos cualquier programa o app como se dice ahora, para hacer algo que seguramente con un poquito de formación ya tenemos en nuestro sistema una herramienta que lo hace.
En otros sistemas (léase GNU/Linux y al principio MAC) la formación del usuario era lo más importante y el usuario de estos sistemas no era o es el mismo perfil que tienen los usuarios de los sistemas windows y ahora los sistemas android. Se repiten los mismos errores y por la tanto se repiten los mismos problemas.
Según vaya pasando el tiempo el sistema android irá degenerando, y los terminales se degradarán más rápido aún que con windows.
Un saludo.
Me gustaMe gusta
Interesante reflexión y analogía: como es fácil de instalar «apps» y la gente prefiere no aprender, se va instalando cosas que ocupan espacio, ralentizan su terminal y, en muchas ocasiones vienen con «regalito» (léase troyano o similar)
Gracias Julio por el enfoque 😉
Me gustaMe gusta
Resultados para mi BQ Aquaris M5 con Android 5.0.2 actualizado a la última versión del firmware de BQ (1.2.4):
– CVE-2015-1528: Integer overflow in the native_handle_create function in libcutils/native_handle.c in Android before 5.1.1
– CVE-2015-6602: Remote code execution as media_server.
– CVE-2015-3825: Local object serialization attack.
– CVE-2015-3636: UAF in Linux Kernel ICMP Socket.
Me gustaMe gusta
Me parece que no se va a librar ni el «apuntador»
Gracias Manuel
Me gustaMe gusta
Para mi viejo e insustituible Nexus 4 con Android 5.1.1 y rom Cyanogenmod me dá cero vulnerabilidades 🙂
Me gustaMe gusta
«Viejo» pero con 5.1.1… se mantiene «joven»
Me estás dando envidia y, en consecuencia, estoy por rootear mi móvil y montar Cyanogen para «investigar» si gano en seguridad 😉
Me gustaMe gusta
Un buen post, gracias por seguir compartiendo estas nuevas; en mi caso no es vulnerable el equipo (menos mal, tal vez por ahora ) bueno ojalá pronto resuelvas esos inconvenientes, saludos.
Android 5.1.1 no vulnerable
«release»: «5.1.1»,
«sdk»: «22»,
«id»: «LMY47X»,
«versionCode»: 6,
«versionName»: «v.6»
«name»: «ZipBug 9950697»,
«isVulnerable»: false
},
{
«name»: «ZipBug 8219321»,
«isVulnerable»: false
},
{
«name»: «ZipBug 9695860»,
«isVulnerable»: false
},
{
«name»: «CVE-2013-6282»,
«isVulnerable»: false
},
{
«name»: «CVE-2011-1149»,
«isVulnerable»: false
},
{
«name»: «CVE-2014-3153»,
«isVulnerable»: false
},
{
«name»: «CVE-2014-4943»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-1528»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-1538-1»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-1538-2»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-1538-3»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-1538-4»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-1539»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-3824»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-3828»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-3829»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-3864»,
«isVulnerable»: false
},
{
«name»: «sf-itunes-poc»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-6602»,
«isVulnerable»: false
},
{
«name»: «CVE-2015-3825»,
«isVulnerable»: «name»: «CVE-2015-7888»,
«isVulnerable»: false,
«exception»: «java.lang.Exception: Error when extracting the asset file: java.io.FileNotFoundException: \/sdcard\/Download\/cred.zip: open failed: ENOENT (No such file or directory)»
Me gustaMe gusta
¿¡¿Voy a ser de los pocos «vulnerables» en la sala?!? XO
Me gustaMe gusta
Esto me deja pensando, ¿cuantas de esas vulnerabilidades se podrían mitigar si los cabrones de Google se dignasen a implementar algo que permita bloquear permisos ni bien instalas una aplicación? En lugar de eso toca recurrir a soluciones de terceros como App Setings GB (permite configurar varios aspectos de una aplicación ademas de los permisos) y para aquellas apps «rebeldes» que se crashean luego de modificarse permisos esta XPrivacy (no bloquea permisos exactamente pero cumple bastante bien). Se debe tener en cuenta que ambas aplicaciones requieren de Xposed para que puedan funcionar.
Me gustaMe gusta