Descubren vulnerabilidad crítica de Android que permite ataques remotos
Connect with us

Tecnología

Descubren vulnerabilidad crítica de Android que permite ataques remotos

Publicado

on

Descubren vulnerabilidad crítica de Android que permite ataques remotos
Foto: fuentes.
Compartir

Los investigadores descubrieron una nueva vulnerabilidad crítica de Android que puede permitir a los atacantes realizar la ejecución remota de código en un dispositivo Android vulnerable y tomar el control de él.

La vulnerabilidad reside en la forma en la que Android entrega la configuración automática de proxy (PAC), en forma de un archivo que define cómo los navegadores web y otras apps pueden elegir automáticamente un servidor proxy apropiado para sus comunicaciones.

El sistema operativo Android, usa una biblioteca llamada libpac la cual le permite analizar el lenguaje Javascript.

Configuración Automática de Proxy (PAC)

El archivo Libpac usa un motor de búsqueda basado en Javascript de la versión 8 de Android o sus predecesoras, lo que la hace vulnerable a ataques, tal como se ha demostrado recientemente; provocando el bloqueo del servicio PacProcessor en teléfonos no actualizados.

Los investigadores explican que «el bloqueo no fue causado por un problema en el Javascript de la V8, sino que se debió a un problema con las asignaciones de recursos»; en este caso de la función PAC, encargada de encontrar el servidor proxy apropiado para la comunicación de datos.

Se puede acceder a la configuración de la función PAC en Android, a través del ícono de la red wifi actual -> editando la configuración avanzada -> seleccionando «Proxy Auto-Config» en el menú desplegable de proxy.

Austin Emmitt, un investigador de seguridad de NowSecure encontró esta vulnerabilidad en julio de 2019; e informó a Google y se confirmó como de gravedad «crítica».

Detalles de vulnerabilidad

Austin encontró manualmente la vulnerabilidad en Android con la ayuda de algunas herramientas y trucos. La vulnerabilidad se produce debido a la inicialización incorrecta de un objeto que proporciona métodos para los recursos que usa la V8.

El atacante que controla la secuencia de comandos PAC tiene la capacidad de manipular las URL que se pasan a la función necesaria para encontrar el servidor proxy y redirigir el tráfico del móvil a su antojo», dijo Austin Emmitt a través de una publicación en su blog sobre ciberseguridad.

La vulnerabilidad puede ser explotada remotamente por el atacante de dos maneras diferentes.

1.  Filtrando una dirección URL a la memoria ejecutable

2. Enviando secuencias de datos destinadas garantizar que se ejecuten los servicios controlados por el atacante.

El investigador cree que el gadget RET (una secuencia de instrucciones; contenida en todas las versiones de Android), le daría al atacante una poderosa pero primitiva herramienta de lectura y escritura»; lo cual según Emmitt es suficiente para causar un gran daño a cualquier móvil intervenido.

Con información de: ACN|NowSecure|Gbhackers|Redes

No dejes de leer: Resurge el Motorola Razr como un smarthphone Android plegable (+Video)

Tecnología

Fiesta de Navidad CLX Samsung 2019 en su Séptima Edición

Publicado

on

Por

Fiesta de Navidad CLX Samsung - acn
Compartir

Más de 900 trabajadores de las tiendas CLX Samsung a nivel nacional se dieron cita en el Hotel Hesperia para vivir un momento mágico e inolvidable. La familia CLX Samsung celebró la séptima edición de su tradicional Fiesta de Navidad CLX Samsung. El gran obsequio de la noche fue un Smartphone para cada trabajador, a nombre de su Presidente Nasar Dagga.

“Quiero agradecer a todo mi gran equipo por su compromiso en un año lleno de logros como la gran familia que hemos constituido desde 2013, siendo aún más grande y con el fin de mantenernos como la referencia tecnológica más importantes en Venezuela”, expresó Nasar Dagga, Presidente de CLX.

smartphone clx navidad - acn

Fiesta de Navidad CLX Samsung 2019

Osmariel Villalobos, animadora venezolana, fue la responsable de la animación de esta mágica noche; donde reinó la alegría de todo el equipo que forma parte de CLX en Venezuela y a su vez de CLX Panamá.

Adicionalmente, la encantadora voz del cantante venezolano Juan Miguel cautivó a todos los presentes; previa a las presentaciones de Pedro Castillo y la agrupación Amazonia Show.

GAD y XIO nuevos integrantes del grupo empresarial

GAD Tecnology, distribuidor oficial de LG en Venezuela y XIO, distribuidor oficial de Xiaomi; fueron parte de esta imborrable noche como nuevos integrantes de esta gran familia de trabajadores que sigue su apuesta en ofrecer lo mejor en tecnología para los hogares venezolanos.

Nasar Dagga afirmó que el venidero 2020 será de crecimiento para todo el grupo empresarial, de más logros y aperturas dentro del país.

No dejes de leer: Nasar Dagga inaugura tienda Xiaomi en el Estado Carabobo

Seguir Leyendo

Candy Crazy

Facebook

Carabobo

Sucesos

Lo más leído