Un fallo de seguridad en el navegador de Android permite robar las credenciales

Si eres de los que utiliza el navegador de Internet que viene por defecto en Android te interesará saber que se ha encontrado un fallo de seguridad mediante el cual se pueden robar las credenciales del usuario. Según informa el portal Metasploit, el fallo fue detectado en primer lugar por Rafay Baloch el día 1 de septiembre y sólo afectaría a los "Android Browser" que incorporan aquellas versiones anteriores a Android 4.4 KitKat.

El bug de seguridad se deriva de cómo el navegador de Android maneja javascript y las URLs precedidas por un carácter de byte nulo. Al encontrarse con una dirección así, el navegador no hace cumplir la política de seguridad y los sitios web maliciosos pueden adquirir información sensible de las demás pestañas que tenemos abiertas en ese momento en el navegador, además permite hacer copias de las cookies de sesión.

Desde Metaesploit siguen investigando esta vulnerabilidad, ya que quieren saber con total precisión en que versión exacta de Android se corrigió el problema y resolver el porcentaje de extensión del fallo. Sobre todo teniendo en cuenta que las versiones Android anteriores a la 4.4 representan el 75% de cuota de mercado del sistema operativo de Google.

Tod Beardsley, autor del estudio en Metaesploit, nos emplaza a la semana que viene para enseñarnos un vídeo con una demostración del bug en pleno funcionamiento. Además hace hincapié en seguir estudiando la seguridad en smartphones de gama media o baja para proteger la seguridad de esas personas que no tienen el poder adquisitivo para adquirir un teléfono mejor, pero cuyos datos son igual de sensibles e importantes.

A todos los usuarios cuya versión de Android sea inferior a KitKat se les recomienda empezar a utilizar otros navegadores que no están afectados por este fallo de seguridad como son Google Chrome, Opera, Mozilla Firefox o Dolphin Browser. Hasta el momento no hay declaración alguna por parte de Google sobre este peligroso bug que afecta a la mayor parte del ecosistema Android.
Ya estamos de vuelta con las fallas de android..
Por eso yo uso opera mini...xD
4.4.4 y google chrome. easy
Fallos de una versión que ya casi nadie usa. Hay que estar anticuado para seguir usando android browser como navegador con la oferta de navegadores que hay en Google Play.
minmaster escribió:Fallos de una versión que ya casi nadie usa. Hay que estar anticuado para seguir usando android browser como navegador con la oferta de navegadores que hay en Google Play.


No puedes imaginarte la cantidad de dispositivos que estan estancados en versiones inferiores porque a samsung por poner un ejemplo no le sale la gana actualizarlos con nuevas revisiones, y sino tiras de flash+room no tienes acceso a las actualizaciones.
En ese aspecto podría aprender de windows phone tendra millones de haters pero actualiza hasta en dispositivos que tienen bastante tiempo como el lumia 520 al windows 8.1 y si ya se que los que tienen phone 7.x les dejarón colgados pero ahora por lo menos si lo hacen.
Tengo un S2 con 4.4.4 y tiro de mozilla. Para que contrató Google a GeoHot y compañia??? No lo recuerdo bien. . . [comor?]
kai_dranzer20 está baneado por "Game Over"
NasterX escribió:4.4.4 y google chrome. easy



se puede cerrar el hilo que luego viene gente diciendo tonterías sobre Android por no saber usarlo
Android siempre fallando ... Menos mal que tardé poco en largarlo!
Antes de criticar hay que leer la noticia entera no sólo el título, el fallo es fácil de evitar sabiendo ésto
minmaster escribió:Fallos de una versión que ya casi nadie usa. Hay que estar anticuado para seguir usando android browser como navegador con la oferta de navegadores que hay en Google Play.


Claro, como poco la usa el 80% de la gente que tiene android (versioes menores a 4.4) y eso sin contar las 4.4 sin actualizar y afectadas.

Es uno de los mayores problemas de android, la inmensa fragmentacion y casi nulo soporte en la inmensa mayoria de fabricantes.

http://appleinsider.com/articles/14/08/ ... d-10-share
Por estas cosas ya no tengo movil......telefono fijo y andando.
Nunca he usado el navegador que viene por defecto. XD
el navegador por defecto está muy presente en muchos dispositivos antiguos y/o de gama media/baja. no todo el mundo instala otras apps a parte de las por defecto.

retroviciado escribió:Por estas cosas ya no tengo movil......telefono fijo y andando.


hombre, andando con un fijo no llegarás muy lejos... XD
matranco escribió:Android siempre fallando ... Menos mal que tardé poco en largarlo!

No es un fallo de Android, sino del navegador libre que forma parte de AOSP y viene por defecto en algunos dispositivos. Y según la fuente solo afecta a la versión 4.2.1 del navegador.
logoff escribió:
retroviciado escribió:Por estas cosas ya no tengo movil......telefono fijo y andando.


hombre, andando con un fijo no llegarás muy lejos... XD

[qmparto] [qmparto] [qmparto]
josemurcia escribió:
matranco escribió:Android siempre fallando ... Menos mal que tardé poco en largarlo!

No es un fallo de Android, sino del navegador libre que forma parte de AOSP y viene por defecto en algunos dispositivos. Y según la fuente solo afecta a la versión 4.2.1 del navegador.

Deberíamos de dejar todos android y usar cosas seguras como Icloud.
OH WAIT
Quien usa ese navegador teniendo operamini/chroome?
lui567dexx escribió:Quien usa ese navegador teniendo operamini/chroome?

El mismo que usa internet explorer en su ordenador [qmparto]
Nunca uso el navegador de serie en Android.
Dolphin browser me parece el más rápido no que sea el más seguro.
korchopan escribió:
logoff escribió:
retroviciado escribió:Por estas cosas ya no tengo movil......telefono fijo y andando.


hombre, andando con un fijo no llegarás muy lejos... XD

[qmparto] [qmparto] [qmparto]

Es inalámbrico [+furioso] [bye]
Esto con Apple no pasa [poraki] [poraki] [poraki]
Suq'ata escribió:Esto con Apple no pasa [poraki] [poraki] [poraki]


Si tu lo dices...
korchopan escribió:
logoff escribió:
retroviciado escribió:Por estas cosas ya no tengo movil......telefono fijo y andando.


hombre, andando con un fijo no llegarás muy lejos... XD

[qmparto] [qmparto] [qmparto]

Es inalámbrico [+furioso] [bye][/quote]

Y si vas a otra ciudad, aun puedes llamar con el inalambrico?
lui567dexx escribió:Quien usa ese navegador teniendo operamini/chroome?

Pues el 90% de los usuarios ya que no saben ni que existen otras alternativas...
Menos mal yo uso mozilla, el google me gusto nada de uso es pesimo.
Suq'ata escribió:Esto con Apple no pasa [poraki] [poraki] [poraki]

Pon la seguridad en dos pasos para tu cuenta de icloud ahora que puedes corre.

.....
Lord_Gouki

Si va con una sim, como un movil pero en fijo y puedes estar en donde quieras, Vodafone ya lo esta implantado desde hace un tiempo.
matranco escribió:Pues el 90% de los usuarios ya que no saben ni que existen otras alternativas...


Quienes no saben que existen otras alternativas son los usuarios apple, estos hasta aparecen desnudos en interntet [jaja] [jaja] [jaja] [666]
oscx7 escribió:
matranco escribió:Pues el 90% de los usuarios ya que no saben ni que existen otras alternativas...


Quienes no saben que existen otras alternativas son los usuarios apple, estos hasta aparecen desnudos en interntet [jaja] [jaja] [jaja] [666]

Deberías informarte antes de quedar como el culo, ya que no fue un fallo de seguridad de Apple, los ladrones sacaron las contraseñas a fuerza bruta.
Igualmente, porqué sacas a Apple en una noticia que no tiene nada que ver? Así crees tenerla más grande?

Por cierto en iOS no hace falta otro navegador (aunque los hay). Safari va perfecto.
matranco escribió:Deberías informarte antes de quedar como el culo, ya que no fue un fallo de seguridad de Apple, los ladrones sacaron las contraseñas a fuerza bruta.


Eso dicen ellos
matranco escribió: Igualmente, porqué sacas a Apple en una noticia que no tiene nada que ver? Así crees tenerla más grande?


Por seguridad, a mi la moda y las chorradas no me importan http://www.pcactual.com/articulo/actual ... phone.html


Pero si que te digo una cosa, quien se pica ajos mastica, y las fotos siguen por internet, y...........esas se saben, las posibles de menores desnudas no se sabe de ellas, tan seguro era lo que vende apple, tanto rollo, tan caro y tanta cosa que, ahora la gente que sepa que sus datos fueron robados deberian de demandar a saco a apple

matranco escribió:Por cierto en iOS no hace falta otro navegador (aunque los hay). Safari va perfecto.


con lo que cuesta deberia de ir super super perfecto, hardware caducado y precios elevadisimos, ellos mismos son los primeros en ir cool xD
matranco escribió:Deberías informarte antes de quedar como el culo, ya que no fue un fallo de seguridad de Apple, los ladrones sacaron las contraseñas a fuerza bruta.
Igualmente, porqué sacas a Apple en una noticia que no tiene nada que ver? Así crees tenerla más grande?

Por cierto en iOS no hace falta otro navegador (aunque los hay). Safari va perfecto.

Deberías informarte tú porque si fue un fallo de seguridad. Sacaron las contraseñas a través de fuerza bruta contra los servidores de Apple, que eran vulnerables a ataques por fuerza bruta.

En iOS hay más gente usando Chrome que Safari. Por algo será.
El mío venia con android 4.4.3 de fábrica y se me actualizó solo nada mas encenderlo a 4.4.4 así que este problema no me afecta :)
Y un fallo que perdurara para siempre porque no hay actualizaciones, bieen.
josemurcia escribió:
matranco escribió:Deberías informarte antes de quedar como el culo, ya que no fue un fallo de seguridad de Apple, los ladrones sacaron las contraseñas a fuerza bruta.
Igualmente, porqué sacas a Apple en una noticia que no tiene nada que ver? Así crees tenerla más grande?

Por cierto en iOS no hace falta otro navegador (aunque los hay). Safari va perfecto.

Deberías informarte tú porque si fue un fallo de seguridad. Sacaron las contraseñas a través de fuerza bruta contra los servidores de Apple, que eran vulnerables a ataques por fuerza bruta.

En iOS hay más gente usando Chrome que Safari. Por algo será.

Supongo que lo de informarte antes de hablar no es lo tuyo por lo que parece... Ya te ayudo yo:

Imagen
Eso son datos de share, no de usuarios, pero puede que tengas razón.

Lo decía por esta encuesta a más de 5000 personas que vi hace tiempo.

Imagen

Aún así, diles a esas millones de personas que usan Chrome que están equivocados.
josemurcia escribió:
matranco escribió:Deberías informarte antes de quedar como el culo, ya que no fue un fallo de seguridad de Apple, los ladrones sacaron las contraseñas a fuerza bruta.
Igualmente, porqué sacas a Apple en una noticia que no tiene nada que ver? Así crees tenerla más grande?

Por cierto en iOS no hace falta otro navegador (aunque los hay). Safari va perfecto.

Deberías informarte tú porque si fue un fallo de seguridad. Sacaron las contraseñas a través de fuerza bruta contra los servidores de Apple, que eran vulnerables a ataques por fuerza bruta.

En iOS hay más gente usando Chrome que Safari. Por algo será.


Hombre no estoy muy puesto, pero el fallo no era que podias hacer intentos ilimitados? Eso para mi, es un fallo de seguridad. Lo normal es que cada 4 o 5 intentos te pida esperar o un captcha.
Messiahs escribió:Hombre no estoy muy puesto, pero el fallo no era que podias hacer intentos ilimitados? Eso para mi, es un fallo de seguridad. Lo normal es que cada 4 o 5 intentos te pida esperar o un captcha.

Exacto. Protección ante ataques de fuerza bruta es algo básico en servicios como este, y Apple no lo tiene(o tenía).
matranco escribió:
oscx7 escribió:
matranco escribió:Pues el 90% de los usuarios ya que no saben ni que existen otras alternativas...


Quienes no saben que existen otras alternativas son los usuarios apple, estos hasta aparecen desnudos en interntet [jaja] [jaja] [jaja] [666]

Deberías informarte antes de quedar como el culo, ya que no fue un fallo de seguridad de Apple, los ladrones sacaron las contraseñas a fuerza bruta.
Igualmente, porqué sacas a Apple en una noticia que no tiene nada que ver? Así crees tenerla más grande?

Por cierto en iOS no hace falta otro navegador (aunque los hay). Safari va perfecto.


Si tu lo dices... que poca memoria teneis algunos [carcajad]
http://thenextweb.com/apple/2012/03/22/ ... n-ios-5-1/
https://www.osi.es/es/actualidad/avisos ... ipod-touch

Cada uno tiene sus dias... pero hoy te has lucido [carcajad]
alucard26 escribió:
matranco escribió:
oscx7 escribió:
Quienes no saben que existen otras alternativas son los usuarios apple, estos hasta aparecen desnudos en interntet [jaja] [jaja] [jaja] [666]

Deberías informarte antes de quedar como el culo, ya que no fue un fallo de seguridad de Apple, los ladrones sacaron las contraseñas a fuerza bruta.
Igualmente, porqué sacas a Apple en una noticia que no tiene nada que ver? Así crees tenerla más grande?

Por cierto en iOS no hace falta otro navegador (aunque los hay). Safari va perfecto.


Si tu lo dices... que poca memoria teneis algunos [carcajad]
http://thenextweb.com/apple/2012/03/22/ ... n-ios-5-1/
https://www.osi.es/es/actualidad/avisos ... ipod-touch

Cada uno tiene sus dias... pero hoy te has lucido [carcajad]

Tu mismo me das la razón si tienes que poner noticias de hace años..., Safari va perfecto, no se necesita buscar otro navegador.
Esto con Symbian no pasaba [carcajad]
alucard26 escribió:
matranco escribió:
oscx7 escribió:
Quienes no saben que existen otras alternativas son los usuarios apple, estos hasta aparecen desnudos en interntet [jaja] [jaja] [jaja] [666]

Deberías informarte antes de quedar como el culo, ya que no fue un fallo de seguridad de Apple, los ladrones sacaron las contraseñas a fuerza bruta.
Igualmente, porqué sacas a Apple en una noticia que no tiene nada que ver? Así crees tenerla más grande?

Por cierto en iOS no hace falta otro navegador (aunque los hay). Safari va perfecto.


Si tu lo dices... que poca memoria teneis algunos [carcajad]
http://thenextweb.com/apple/2012/03/22/ ... n-ios-5-1/
https://www.osi.es/es/actualidad/avisos ... ipod-touch

Cada uno tiene sus dias... pero hoy te has lucido [carcajad]

matranco escribió:Tu mismo me das la razón si tienes que poner noticias de hace años..., Safari va perfecto, no se necesita buscar otro navegador.

Te refieres a estas del mes pasado, usando el comando "tel" y safari en un iphone permite realizar llamadas sin que lo sepas a números de tarifa especial?
http://www.elpais.com.uy/vida-actual/al ... madas.html
http://www.movilzona.es/2014/08/22/un-f ... u-factura/

[carcajad] [carcajad] [carcajad] [carcajad] [carcajad] [carcajad] [carcajad]
Si es que aquí no hay nada que argumentar. El último estudio de seguridad de Symantec lo deja bastante claro.

Imagen
Tal y como lo ponen parece como si te digeran, O cambias de Smartphone a uno con KitKAt o posterior o te van a hakear, no se me parece un truño para obligar a la gente a que se actualice. Pues yo no me cambiare de Smartphone porque lo diga una noticia, mi andorid es 4.2 y si me roban las credenciales como que me da igual, desde el movil me resulta dificil tener que escribir algo con el dichoso tactil y sobretodo el maldito correcto que te hacer parecer imbecil.

Sobre el estudio este de Symatec yo no haria mucho caso, pueden encontrar bugs donde sea. Ademas en esa lista ANDROID deberia estar con un 100% de vulnerabilidad, porque?, facil... Porque al instalar una aplicacion de camara de fotos te pide permisos para acceder a todo el smartphone? Si das permisos ya estas dando entrada libre a los desarrolladores de esa aplicacion con lo cual pueden sacarte todos los datos porque les has dado permiso completo. Tener cuidado con lo que instalais, Android no tiene una seguridad muy buena y como la gente siguge la filosofia Windows (siguiente, siguiente, aceptar) luego pasa lo que pasa. Si me instalo una app de camara de fotos me parece normal que me pida permisos para fotos y videos, pero no me parece normal que me pida acceso a contactos, SMS, modo debug, a carpetas de android, acceso a GPS, uso del giroscopia, esto no me parece nada normal. En iOS no hay otra forma de acceder que usando hacks y en windows phone 0%, si seguro, Claro Symatec esta con Microsoft, lo olvidaba siempre sera 0
josemurcia escribió:Si es que aquí no hay nada que argumentar. El último estudio de seguridad de Symantec lo deja bastante claro.

Imagen

Eso es como el cuento de que linux es mucho peor que windows pq hay muchisimas mas vulnerabilidades documentadas. En microsoft no las suelen publicar y tienen el codigo escondido por eso tiene tan "pocas" vulnerabilidades documentadas. La realidad es bien distinta como todos sabemos.

En iOS apple suele publicar todo, incluso el que dio la vulnerabilidad (los del jailbreak suelen salir a patadas), a parte de que iOS usa muchisimas bibliotecas de software libre que esas mismas bibliotecas publican vulnerabilidaded (de echo la inmensa mayoria pertenecen a estas). Android publica lo justo tambien, mucho van de codigo abierto, pero publican lo minimo que pueden.
Eso no es para nada fiable, de echo a mi un sistema con mayores vulnerabilidades documentadas me da mucha mas seguridad que uno que las esconden durante meses para unos "privilegiados" como suele hacer Microsoft con Windows por norma.
josemurcia escribió:Si es que aquí no hay nada que argumentar. El último estudio de seguridad de Symantec lo deja bastante claro.

Imagen

Jajaja un estudio de Symantec y lo tomas en serio! Esto es de chiste [carcajad]
Me voy a dormir, gracias por el buen rato [carcajad]
Me tomo más en serio tus palabras. Venga que se te nota el cansancio.
XCaja está baneado por "clon de usuario baneado"
Android con un fallo de seguridad? Que raro.
Esto es conspiracion de apple fijo.
kai_dranzer20 escribió:
NasterX escribió:4.4.4 y google chrome. easy



se puede cerrar el hilo que luego viene gente diciendo tonterías sobre Android por no saber usarlo


De la misma manera en la cual tú haces el ridículo en noticias/hilos de Windows Phone :p
89 respuestas
1, 2