Una de las ventajas que presenta Android sobre iOS es sin duda la facilidad a la hora de instalarnos una APP, pero hay que tener cuidado con lo que instalamos en nuestro smartphone, existes aplicaciones mal intencionadas que pueden dañarnos nuestros contenidos y sobre todo nuestra cartera.
Se han anunciado dos nuevas vulnerabilidades en sistemas Android (anteriores a la versión 4.4.4) que podría permitir a una aplicación maliciosa realizar llamadas a números de tarificación especial sin que el usuario se percate de ello y aun sin permisos para ello.
Las dos vulnerabilidades, muy similares entre sí, han sido anunciadas por Curesec. El primero de los problemas, con CVE-2013-6272, aparece en Android 4.1.1 Jelly Bean y se presenta en todas las versiones hasta Android 4.4.2 KitKat. Reside en com.android.phone y todo parece indicar que se ha corregido en la última versión 4.4.4.
Por otra parte, una segunda vulnerabilidad (sin CVE asignado todavía) en com.android.contacts solo está presente en las versiones Android 2.3.3 y 2.3.6. Ambas vulnerabilidades son explotables de la misma forma con idénticos resultados.
Los dos problemas podrían permitir a una aplicación maliciosa evitar los permisos de Android y permitir la realización de llamadas telefónicas o enviar códigos USSD (Unstructured Supplementary Service Data). Los códigos USSD, son códigos específicos de las operadoras que permiten el desvío de llamadas, bloquear tarjetas SIM, cambiar opciones de anonimato de llamada, etc.
Las acciones maliciosas se realizarían sin autorización, intervención ni conocimiento del usuario. Y podrían permitir que una aplicación realice llamadas a cualquier número de teléfono (incluidos los de tarificación especial). Esto podría llevar a que el usuario se encuentre con la consiguiente sobrecarga en su factura telefónica.
Se puede saber que versión de Android tiene un dispositivo se puede consultar el menú Ajustes/Acerca del teléfono/Versión de Android.
Curesec ha publicado una aplicación como prueba de concepto que puede permitir a un usuario comprobar si su dispositivo es vulnerable.
Más información:
CVE-2013-6272 com.android.phone
CVE-2014-N/A com.android.contacts
Vía: Hispasec
¿Te resultó interesante? Compártelo ...
Bueh… yo tengo la 4.4.4 desde el mismo día que salió, no es algo que me preocupe.
Suerte para aquellos vendecidos por el acceso.
No soy un Bendecido ahora mismo, no fui yo quien bajó el zip
OFF Topic: @KZKG^Gaara, que plugin de captcha para los comentarios están usando ustedes ahora de DesdeLinux????? es que de alguna manera hay que controlar esta oleada de SPAM en GUTL, definitivamente parece que no podremos volver a usar Akismet por acá 🙁
El captcha que usamos ahora aca no controla para nada el SPAM
Prueba este: http://wordpress.org/plugins/anti-spam/
Agrega un campo extra al form de comentar y mediante CSS lo hace invisible a los navegadores, luego como los bots de SPAM leen el HTML directamente y no son un navegador con un humano por detrás, ponen algo en ese form, lo cual hace que el comentario vaya directo a SPAM.
Vale, luego hago la prueba a ver que tal, aunque toda la lógica apunta a que debe funcionar…
Ese es el que uso en unos sitios que administro (.cu) y tenía cada día más de 1000 comentarios SPAM, puse ese plugin y a tomar por c___ con los bots 🙂
Deja ver si hago tiempo para eso. Aun tengo pendiente poner el plugin de useragent con tu codigo. Y sobre tocar codigo en GUTL, la ultima vez que toque algo coincidio con un vaiven del server y se jodio GUTL por varios dias. Ya hasta me da miedo tocar nada de nada 🙁
Ya active ese plugin y desactive el captcha, veremos que ocurre en las siguientes horas con el SPAM
mijo…me hace falta ponerme de acuerdo contigo para cojer eso
KZKG^Gaara como me puedes hacer llegar esa version de android, tengo un LG E970 con 4.1.2, y necesito actualizarlo.
Yo tengo un Nexus 4 que viene siendo el E960, tengo el 4.4.4 completo para él, o sea el zip directo. Escríbeme un email (kzkggaara at desdelinux dot net) para ponernos de acuerdo si te interesa.
Repito, es el zip que Google sacó para el Nexus 4, no puedo darte un 100% de seguridad pues el tuyo no es exactamente el mismo.
Alguen sabe alguna pajina para descargar ROOM para Acer Liquid o acer E100 necesito uno + actualizado q el 2.1