{"id":497,"date":"2009-07-20T07:04:20","date_gmt":"2009-07-20T12:04:20","guid":{"rendered":"http:\/\/eaprende.com.mandril.avnam.net\/blog\/?p=497"},"modified":"2009-07-20T07:08:53","modified_gmt":"2009-07-20T12:08:53","slug":"problema-de-seguridad-en-android","status":"publish","type":"post","link":"https:\/\/www.eaprende.com\/blog\/2009\/07\/20\/problema-de-seguridad-en-android\/","title":{"rendered":"Problema de seguridad en Android"},"content":{"rendered":"<p>Se ha descubierto un error de validaci\u00f3n a la hora de manejar los<br \/>\npermisos encargados de verificar el acceso a la c\u00e1mara y al audio<br \/>\n(Manifest.permission.CAMERA y Manifest.permission.AUDIO_RECORD<br \/>\nrespectivamente) en Andorid. Esto podr\u00eda ser aprovechado por un atacante<br \/>\npara obtener grabaciones de audio y video sin el consentimiento del<br \/>\nusuario.<\/p>\n<p>Cualquier aplicaci\u00f3n Android necesitar\u00e1 la confirmaci\u00f3n expl\u00edcita del<br \/>\nusuario para acceder a un solo de los recursos de audio y v\u00eddeo. Pero si<br \/>\nse crea (y el usuario instala) una aplicaci\u00f3n que no pida el uso de esos<br \/>\npermisos, por error, los tendr\u00e1 impl\u00edcitamente (podr\u00e1 usar el micr\u00f3fono<br \/>\ny la c\u00e1mara) sin necesidad de que el usuario lo sepa.<\/p>\n<p>Android es un sistema operativo para m\u00f3viles basado en el kernel de<br \/>\nLinux. Inicialmente lo desarroll\u00f3 Google pero luego ha pasado a<br \/>\npertenecer a la Open Handset Alliance (formada por alrededor de 50<br \/>\nempresas del sector). Android trabaja con dos licencias, GPLv2 para<br \/>\ncomponentes como los parches del kernel y Apache 2 para las aplicaciones<br \/>\nya que permite su comercializaci\u00f3n de manera m\u00e1s simple.<\/p>\n<p>Android est\u00e1 pensado para trabajar de manera similar a un Framework que<br \/>\nadem\u00e1s permite la intercomunicaci\u00f3n entre distintas aplicaciones usando<br \/>\nun interfaz propio para cada aplicaci\u00f3n. El modelo usado por Android<br \/>\npermite que los distintos programas informen al resto de que capacidades<br \/>\ntienen y as\u00ed el resto de programas pueden usarlas sin necesidad de<br \/>\nimplementarlas, claro est\u00e1 siguiendo ciertas reglas de seguridad.<br \/>\nEsta vulnerabilidad evade este control y permite que no se pida<br \/>\nautorizaci\u00f3n al usuario para acceder a la c\u00e1mara y el audio.<\/p>\n<p>Las APIs oficiales son para Java; no obstante se podr\u00edan usar otros<br \/>\nlenguajes, pero estos programas deber\u00edan compilarse para ARM (el<br \/>\nprocesador usado en la mayor parte de los dispositivo m\u00f3viles actuales).<\/p>\n<p>En la actualidad este sistema operativo es usado en algunos modelos de<br \/>\nHTC y otras compa\u00f1\u00edas, aunque el numero de dispositivos con este sistema<br \/>\noperativo no es muy elevado.<\/p>\n<p>Est\u00e1 solucionado en las versiones Android 1.5 CDBxx, CRCxx y COCxx donde<br \/>\nxx son d\u00edgitos.<\/p>\n<p><strong>m\u00e1s datos:<\/strong> http:\/\/www.ocert.org\/advisories\/ocert-2009-011.html<\/p>\n<p><strong>Responsable:<\/strong><br \/>\nVictor Antonio Torre<br \/>\nvtorre@hispasec.com<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha descubierto un error de validaci\u00f3n a la hora de manejar los permisos encargados de verificar el acceso a la c\u00e1mara y al audio (Manifest.permission.CAMERA y Manifest.permission.AUDIO_RECORD respectivamente) en Andorid. Esto podr\u00eda ser aprovechado por un atacante para obtener grabaciones de audio y video sin el consentimiento del usuario. Cualquier aplicaci\u00f3n Android necesitar\u00e1 la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0},"categories":[],"tags":[],"_links":{"self":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts\/497"}],"collection":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/comments?post=497"}],"version-history":[{"count":1,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts\/497\/revisions"}],"predecessor-version":[{"id":498,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts\/497\/revisions\/498"}],"wp:attachment":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/media?parent=497"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/categories?post=497"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/tags?post=497"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}