LAS VEGAS (Reuters) - Los expertos de hacking han demostrado formas de atacar a los teléfonos inteligentes Android usando métodos que dicen trabajar en prácticamente todos los dispositivos de este tipo
en uso hoy en día, a pesar de los recientes esfuerzos de motor de búsqueda Google gigante para aumentar la protección.
Los expertos mostraron su destreza en la conferencia Sombrero Negro piratería en Las Vegas, donde unos 6.500 trabajadores del gobierno corporativo y de tecnología de seguridad se reunieron para aprender sobre las nuevas amenazas a sus redes.
"Google está haciendo progresos, pero los autores de software malicioso que se están moviendo hacia adelante", dijo Sean Schulte de SpiderLabs de Trustwave.
Portavoz de Google, Gina Scigliano se negó a comentar sobre las preocupaciones de seguridad o de la nueva investigación.
Accuvant investigador Charlie Miller demostró un método para la entrega de códigos maliciosos para los teléfonos Android con una nueva característica de Android conocida como Near Field Communications.
"Puedo tomar más de su teléfono", dijo Miller.
Near Field Communications permite a los usuarios compartir fotos con amigos, hacer pagos o el intercambio de datos de otros teléfonos Android trayendo a unos centímetros de los dispositivos equipados de forma similar como otro teléfono o un terminal de pago.
Miller dijo que descubrieron cómo crear un dispositivo del tamaño de un sello postal que podría quedar atrapado en un lugar poco visible, como cerca de una caja registradora en un restaurante. Cuando un usuario de Android pasa por ahí, el teléfono podría infectarse, dijo Miller.
Pasó cinco años como analista de redes explotación global de los EE.UU. Agencia de Seguridad Nacional, donde sus tareas incluyeron de última hora en los sistemas informáticos extranjeros.
"Wild West"
Miller y otro experto en piratería, Georg Wicherski de CrowdStrike, también se han infectado un teléfono Android con un pedazo de código malicioso que Wicherski dio a conocer en febrero.
Esa pieza de software se aprovecha de una falla de seguridad en el navegador de Android que fue divulgada públicamente por el equipo de Google Chrome el desarrollo del navegador, de acuerdo con Wicherski.
Google ha corregido el defecto en Chrome, que se actualiza con frecuencia, por lo que la mayoría de los usuarios están ahora protegidos, dijo.
Sin embargo, dijo Wicherski los usuarios de Android siguen siendo vulnerables debido a los transportistas y fabricantes de dispositivos no se han llevado a las correcciones o parches a los usuarios.
Marc Maiffret, director de tecnología de la firma de seguridad BeyondTrust, dijo: "Google ha añadido algunas características de seguridad grandes, pero nadie los tiene."
Los expertos dicen que los iPhones y iPads no enfrentan el mismo problema, ya que Apple ha sido capaz de conseguir los transportistas para empujar a cabo las actualizaciones de seguridad con bastante rapidez después de haber sido puesto en libertad.
Dos investigadores de Trustwave dijo a los asistentes acerca de una técnica que descubrió para evadir de Google "Bouncer" La tecnología para la identificación de programas maliciosos en su tienda Play Google.
Crearon una aplicación de mensajes de texto de bloqueo que utiliza una herramienta de programación conocido como legítima java script puente. Java script del puente permite a los desarrolladores añadir nuevas características de forma remota a un programa normal, sin utilizar el proceso de actualización de Android.
Empresas como Facebook y LinkedIn uso del puente java script para fines legítimos, de acuerdo con Trustwave, pero también podría ser explotada maliciosamente.
Para probar su punto, se carga el código malicioso en una de sus teléfonos de forma remota y obtuvo el control del navegador. Una vez que hicieron eso, que podría obligar a que se descargue más código y que les conceda el control total.
"Esperemos que Google puede resolver el problema rápidamente", dijo Nicholas Percoco, vicepresidente senior de SpiderLabs Trustwave. "Por el momento, Android es el salvaje Oeste."
(Editado por Marion Giraldo)
Fuente: huffingtonpost.com
0 comentarios:
Publicar un comentario