Maslinux
Las noticias más recientes sobre GNU-Linux

Android: Todo el mundo sin actualizar a Oreo, vulnerable al ataque de superposición

Android Toast attack

Cualquier teléfono Android sin parche que ejecute una versión anterior a Oreo va a necesitar parches en breve, con investigadores que presentan una clase de vulnerabilidad que permite que el malware dibuje diálogos falsos para que los usuarios “acepten” su propio pwnage.

El riesgo, según los investigadores de Palo Alto Networks, proviene de lo que se conoce como un ataque de superposición.

Es una manera sencilla de engañar a los usuarios: dibuja una pantalla falsa para que los usuarios hagan clic (por ejemplo, para instalar una aplicación o aceptar un conjunto de permisos), ocultando lo que realmente está sucediendo.

Se supone que Android evita que esto suceda. Como escriben los autores, “todos han creído que las aplicaciones maliciosas que intentan llevar a cabo ataques de superposición deben superar dos obstáculos importantes para tener éxito:

“Ellos deben solicitar explícitamente el permiso del usuario cuando se instala.

Deben instalarse desde Google Play.

La vulnerabilidad presentada por el equipo de investigación de amenazas de la Unidad 42 de Palo Alto no cumple estos requisitos, explotando un tipo de notificación llamado Toast que la documentación de Android describe como “una vista que contiene un pequeño mensaje rápido para el usuario.

El descubrimiento de Palo Alto se basa en un documento publicado por el IEEE (PDF) que mostró los permisos otorgados por SYSTEM ALERT WINDOW y el BIND ACCESSIBILITY SERVICE. Estos, Yanick Fratantonio y sus colegas Chenxiong Qian, Simon Chung y Wenke Lee mostraron, pueden ser explotados para “comprometer con éxito y completamente el bucle de retroalimentación de la interfaz de usuario”.

Según explica el documento, “permite a un atacante modificar tanto lo que ve el usuario e inyectar entrada falsa, todo mientras mantiene la esperada” experiencia del usuario ” permaneciendo furtivamente.

La gente de Palo Alto dice que el ataque de superposición que han descubierto “podría llevar a cabo un ataque simplemente instalándose en el dispositivo”.

Fuente

(Visitada 1 veces, 1 visitas hoy )

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Dinero público? ¡Código Público! – Únete a la campaña de la FSFE

Mediante el uso de software libre, los datos de los ciudadanos se mantienen más seguros y las posibilidades de éxito ataques de los criminales se reduce. El software libre también puede utilizarse como base para mejores aplicaciones, basándose en él para crear programas más eficientes y seguros. En resumen, el Software Libre puede ayudarnos a construir una sociedad mejor para todos.Firma aquí Para más info, Visita este enlace

Populares

  • Kaos GNU/Linux (Podcast) (130)
  • 5 Fuentes de código abierto ideales para programación (121)
  • Bash-insulter: Secuencia de comandos que insulta al usuario cuando escribe un comando incorrecto (114)
  • Cómo cambiar las aplicaciones por defecto en Ubuntu 17.10 (105)
  • 5 Formas de agregar o cambiar el nombre de host en RHEL/CentOS 7 (92)
  • Cómo instalar Firefox Quantum en GNU/Linux (85)
  • 9 Cosas que hacer después de instalar Ubuntu 17.10 (39)

Categorías

Archivos

Este blog apoya a Slimbook

Porque producen ultrabooks ensamblados en España con software y hardware libre.

Suscripción por email

Puedes suscribirte a las noticias más recientes por correo electrónico

10 años en la Web

Maslinux.es utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies