Sin girar, sin tonterías, solo una simple charla clara sobre lo que está pasando esta vez
Se necesita una charla real sobre este exploit que el equipo de seguridad de Bluebox descubrió. Lo primero que debe saber es que probablemente esté afectado. Es un exploit que funciona en todos los dispositivos que no han sido parcheados desde Android 1.6. Si ha rooteado y ha hecho una ROM en su teléfono, puede ignorar todo esto libremente. Nada de esto cuenta para usted, porque hay un conjunto completamente diferente de preocupaciones de seguridad que vienen con las ROM personalizadas y de raíz de las que debe preocuparse.
Si no tiene marcada la infame casilla de permiso "Fuentes desconocidas" en su configuración, todo esto no significa nada para usted. Continúa y siéntete libre de ser un poco presumido y moralista; te lo mereces por evitar carga lateral todo este tiempo en caso de que algo así pudiera pasar. Si no sabe lo que esto significa, Pregúntele a alguien.
Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
Para el resto de nosotros, lea más allá del descanso.
Más: Servicio de noticias IDG.
Un agradecimiento especial a todo el equipo de embajadores centrales de Android por ayudarme a entender esto.
¿Qué es?
Todas las aplicaciones de tu Android están firmadas con una clave criptográfica. Cuando llegue el momento de actualizar esa aplicación, la nueva versión debe tener la misma firma digital que la anterior o no se sobrescribirá. No puede actualizarlo, en otras palabras. No hay excepciones, y los desarrolladores que pierden su clave de firma deben crear una nueva aplicación que tenemos que descargar de nuevo. Eso significa comenzar desde cero. Todas las descargas nuevas, todas las reseñas y calificaciones nuevas. No es un asunto trivial.
Las aplicaciones del sistema, las que vinieron instaladas en su teléfono desde HTC, Samsung o Google, también tienen una clave. Estas aplicaciones a menudo tienen acceso de administrador completo a todo en su teléfono, porque son aplicaciones confiables del fabricante. Pero siguen siendo solo aplicaciones.
¿Todavía me sigues?
De lo que estamos hablando ahora, de lo que habla Bluebox, es de un método para abrir una aplicación de Android y cambiar el código sin alterar la clave criptográfica. Celebramos cuando los piratas informáticos evitan los cargadores de arranque bloqueados, y este es el mismo tipo de exploit. Cuando bloqueas algo, otros encontrarán la manera de entrar si se esfuerzan lo suficiente. Y cuando su plataforma es la más popular del planeta, la gente se esfuerza mucho.
Entonces, alguien puede tomar una aplicación del sistema desde un teléfono. Simplemente sáquelo. Con este exploit, pueden editarlo para hacer cosas desagradables: darle un nuevo número de versión y volver a empaquetarlo mientras conservan la misma clave de firma válida. Luego, podría instalar esta aplicación sobre su copia existente, y ahora tiene una aplicación diseñada para hacer cosas malas y tiene acceso completo a todo su sistema. Todo el tiempo, la aplicación se verá y se comportará normalmente; nunca sabrá que está sucediendo algo sospechoso.
¡Ay!
¿Qué se está haciendo al respecto?
La gente de Bluebox le dijo a toda la Open Handset Alliance sobre esto en febrero. Google y los OEM son responsables de aplicar parches para evitarlo. Samsung hizo su parte con el Galaxy S4, pero todos los demás teléfonos que venden son vulnerables. HTC y el One no pasaron el corte, por lo que todos los teléfonos de HTC son vulnerables. De hecho, todos los teléfonos, excepto la versión Samsung Touchwiz Galaxy S4, son vulnerables.
Google aún no ha actualizado Android para solucionar este problema. Me imagino que están trabajando duro en eso: vea los problemas que Chainfire ha tenido al rootear Android 4.3. Pero Google tampoco se quedó de brazos cruzados ni lo ignoró. La tienda de Google Play ha sido "parcheada" para que no se puedan cargar aplicaciones manipuladas en los servidores de Google. Eso significa que cualquier aplicación que descargue de Google Play está limpia, al menos en lo que respecta a este exploit en particular. Pero lugares como Amazon, Slide Me y, por supuesto, todos esos foros de APK agrietados están abiertos y todas las aplicaciones podrían tener JuJu malo en su interior.
Entonces, ¿esto es realmente importante?
Sí, es un gran problema. Y al mismo tiempo, no, realmente no lo es.
Google parcheará la forma en que Android actualiza las aplicaciones o la forma en que están firmadas. En este juego del gato y el ratón, esto es algo normal. Google lanza software, los piratas informáticos (tanto los buenos como los malos) intentan explotarlo y, cuando lo hacen, Google cambia el código. Así es como funciona el software, y este tipo de cosas debe esperarse cuando hay suficientes personas inteligentes que intentan ingresar.
Por otro lado, es posible que el teléfono que tiene ahora nunca vea una actualización para solucionar este problema. Demonios, Samsung tardó casi un año en parchear el navegador contra un exploit que podía borrar todos los datos de usuario en tan solo algunos de sus teléfonos. Si tienes un teléfono que esperas actualizar a Android 4.3, probablemente recibirás un parche. Si no es así, nadie lo sabe. Eso es malo, muy malo. No estoy tratando de criticar a las personas que fabrican nuestros teléfonos, pero la verdad es la verdad.
¿Que puedo hacer?
- No descargue ninguna aplicación fuera de Google Play.
- No descargue ninguna aplicación fuera de Google Play.
- No descargue ninguna aplicación fuera de Google Play.
- De hecho, continúe y desactive el permiso de Fuentes desconocidas si lo desea. Yo hice. Cualquier otra cosa te deja vulnerable. Algunas aplicaciones "Anti-Virus" comprobarán si tiene habilitadas fuentes desconocidas si no está seguro. Ingrese a los foros y descubra cuál dicen todos que es el mejor si es necesario.
- Exprese su disgusto por no recibir actualizaciones de seguridad esenciales para su teléfono. Especialmente si todavía tiene ese contrato de dos años (o tres años, ¡hola Canadá!).
- Rootee su teléfono e instale una ROM que tenga algún tipo de corrección; las más populares probablemente lo tendrán muy pronto.
Así que no entre en pánico. Pero sea proactivo y use algo de sentido común. Ahora es un buen momento para dejar de instalar aplicaciones crackeadas, porque las personas que las descifran son el mismo tipo de personas que podrían poner código malicioso en la aplicación. Si recibe algún aviso de actualización que provenga de un lugar que no sea Google Play, dígaselo a alguien. Contar nos si lo necesitas. Averigua a las personas que intentan transmitir estas hazañas y dales una gran dosis de vergüenza y exposición pública. Las cucarachas odian la luz.
Esto pasará como siempre lo hacen los sustos de seguridad, pero otro intervendrá para ocupar sus zapatos. Esa es la naturaleza de la bestia. Manténganse a salvo, chicos.
¿Has escuchado el podcast central de Android de esta semana?
Cada semana, Android Central Podcast te ofrece las últimas noticias tecnológicas, análisis y tomas calientes, con coanfitriones familiares e invitados especiales.
- Suscríbete en Pocket Casts: Audio
- Suscríbete en Spotify: Audio
- Suscríbete en iTunes: Audio
Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.
Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.
Los mejores auriculares inalámbricos son cómodos, suenan muy bien, no cuestan demasiado y caben fácilmente en un bolsillo.
Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más.
Sony ha confirmado oficialmente que está trabajando en PlayStation 5. Aquí está todo lo que sabemos hasta ahora.
Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200.
Nokia 2.4 y Nokia 3.4 son las últimas incorporaciones a la línea de teléfonos inteligentes económicos de HMD Global. Dado que ambos son dispositivos Android One, se garantiza que recibirán dos actualizaciones importantes del sistema operativo y actualizaciones de seguridad periódicas durante un máximo de tres años.
Asegure su hogar con estos timbres y cerraduras SmartThings.
Una de las mejores cosas de SmartThings es que puede usar una gran cantidad de otros dispositivos de terceros en su sistema, timbres y cerraduras incluidos. Dado que todos comparten esencialmente el mismo soporte de SmartThings, nos hemos centrado en qué dispositivos tienen las mejores especificaciones y trucos para justificar su adición a su arsenal de SmartThings.