Mobile Pwn2Own: la seguridad del Samsung Galaxy S III cae estrepìtosamente

El fallo viene en el sistema operativo iOS, no en el motor del explorador. Realmente son dos fallos: uno que permite acceder al teléfono y otro que permite escalar permisos una vez dentro.

 

Hace poco salió un exploit para Android que permitía rootear cualquier teléfono y, aunque algunos usuarios lo tachaban como “algo bueno”, la realidad es que el exploit sirve más para casos como este que poder instalar Root Explorer o poder modificar archivos del sistema para que Android vaya más fluido, dentro de lo que cabe.

Los de MWR InfoSecurity han logrado acceder a todos los datos del Samsung Galaxy S III a través de NFC sin que el usuario se entere absolutamente de nada. El procedimiento, en líneas generales, es tal que así:

A través de NFC, se puede cargar un archivo malicioso en el dispositivo, lo que nos ha permitido obtener una ejecución de código en el mismo y, posteriormente, obtener su control total utilizando una segunda vulnerabilidad de escalada de privilegios (…) la misma vulnerabilidad podría ser explotada a través de otros vectores de ataque, tales como sitios web maliciosos o archivos adjuntos en correos electrónicos.

La conjunción de los dos fallos de seguridad hace que el teléfono pueda ser espiado remotamente, o cualquier uso que se os pueda ocurrir, ya no es sólo un robo de datos como en el iPhone, es que pueden convertirse en usuarios administrativos del sistema, pudiendo manipular cualquier parte del mismo o enviar SMS, ya que Android permite que se puedan enviar mensajes o cualquier tipo de acción desde Java sin consentimiento del usuario (aplicaciones de mensajería programados, por ejemplo).

Lo peor de todo es que el método no es nuevo, ya que en la Black Hat pasado, Charlie Miller ya fue capaz de explorar un Android con un método similar.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies