Roee Hay (@roeehay), del equipo de IBM Application Security Research Group, ha publicado una vulnerabilidad en los sistemas Android que afectaría (al menos) a la versión 2.3.7 y permitiría la revelación de información sensible.
La vulnerabilidad se encontraría en unas incorrectas políticas de seguridad a la hora de gestionar y controlar el acceso a las bases de datos SQLite Journal del sistema.
Cuando se instala y ejecuta un programa, Android gestiona los datos generados para las aplicaciones que soporten SQLite guardándolos en la ruta:
/data/data/<aplicación>/databases
Al utilizar SQLite, se producen una serie de ‘journals’ o respaldos que generalmente poseen el nombre del programa más la extensión «–Journal». El fallo es que no se limita correctamente el acceso a estos ficheros. Se ha comprobado el establecimiento de permisos de acceso totales, tanto de carpeta como de fichero para todos los usuarios. En concreto:
La carpeta de datos de programa posee permisos de ejecución para todos los usuarios.
El directorio: ‘/data/data/<aplicación>/databases’ posee permisos de lectura/escritura globales:
[rwxrwx–x]
Y como los ‘journals’ de la base de datos son creados en la carpeta ‘/databases’ con permisos
[-rw-r–r–], éstos pueden ser leídos por cualquier aplicación.
Un atacante podría distribuir una aplicación especialmente manipulada que, utilizando SQLite, tendría acceso a los logs de historiales, chats, mensajes e incluso contraseñas.
¿Te resultó interesante? Compártelo ...
bueno me gustaria saber si alguien conose alguna pagina de la red de salud en donde se puede descargar el sistema android 2.3 para tablet, pues tengo una yno tiene sistema operativo y ustedes saben la dificil situacion del internet aqui. si me pudieran dar algun link se los agradeceria mucho