¿No tienes KitKat 4.4? Entonces podrían convertir tu dispositivo en zombie



Cuando os comenté las razones por las que debéis de procurar tener la última versión de Android instalada en vuestro dispositivo, os cité la seguridad, y como ejemplo utilicé el reciente CVE-2014-6041: una vulnerabilidad del navegador que se encuentra en cualquier versión que no sea 4.4 KitKat, y que supone una fallo de privacidad brutal.

¿Que por qué volvemos a hablar de ese fallo de seguridad, cuando ya lo habíamos hecho anteriormente? La razón es simple: el fallo llega mucho más allá de lo que pensábamos, y un atacante puede aprovechar la vulnerabilidad para formar toda una botnet de dispositivos Android. En otras palabras, nuestro Android pasaría a ser un zombie a merced del atacante.

Antes de describir todo, tenemos que pararnos un momento para dar el crédito correspondiente a Miguel Ángel García: ha sido el desarrollador quien ha estado jugando con la vulnerabilidad y ha descubierto lo que se puede hacer con ella. Además ya hemos hablado de otros descubrimientos que han hecho desde Un informático en el lado del mal, así que desde aquí les damos las gracias por su enorme trabajo.

En todo caso, hoy hemos venido aquí a hablar de seguridad, y a contaros de qué es capaz un atacante cuando utiliza esta vulnerabilidad. Para que os pongáis en situación, el problema se sitúa en el navegador web AOSP, y más concretamente en el SOP (Same-Origin Policy), una pieza del navegador que limita cuándo se puede cargar o ejecutar código que sea de un origen diferente a la web en la que estamos.

El problema en concreto es que, con sólo incluir un byte nulo en el código a ejecutar, ya nos podemos saltar la protección de la que se encarga el SOP. Y si accedemos a una página que contenga este byte nulo, la página (y por ende, el atacante) podrá ejecutar el código que quiera en nuestro Android, sin llegar a pasar en ningún momento por esa medida de seguridad.

Esto tiene muchos usos para el atacante: extraer información tanto del contenido HTML como del usuario, enviar formularios sin autorización, extraer nuestras cookies de la sesión (algo llamado session hijacking) para utilizar nuestras cuentas sin necesidad de la contraseña… todos los fallos de privacidad que os comentamos la última vez, en resumen. Pero lo peor es que, con una facilidad casi pasmosa, se puede convertir nuestro dispositivo Android en un zombie.

¿Y cómo convierten a mi Android en un zombie, os preguntaréis? Es bastante sencillo: con una campaña de spam, los usuarios de una versión vulnerable de Android acceden a una página web que parece normal, pero que está diseñada para aprovecharse de esa vulnerabilidad. Y la página cuenta con un script BeEF que hará pasar nuestro Android a una JavaScript Botnet, una red de dispositivos Android a completa disposición del atacante (podéis ver cómo funciona un ataque con este sistema aquí).

Los consejos que os podemos dar desde aquí son los de siempre: no utilizar el navegador AOSP o navegadores web basados en AOSP, y precaución al entrar a páginas web desconocidas, más si se encuentran detrás de un acortador de enlaces. De todas formas, y hasta que se solucione el problema, parece que las sorpresas en ese sentido seguirán llegando.

fuente

CONSIGUE GRATIS 27 APLICACIONES ANDROID VALORADAS EN 120 EUROS GRACIAS A AMAZON



Los usuarios con dispositivos móviles Android están de enhorabuena. Amazon ha lanzado una nueva campaña especial en su tienda de aplicaciones con la que se pueden conseguir apps valoradas en 120 euros de forma gratuita. Los interesados deben darse prisa porque esta promoción tiene fecha de caducidad.

No es la primera vez que Amazon decide ofrecer gratis aplicaciones de pago. La compañía suele regalar un nuevo contenido cada día entre sus usuarios y en julio ya lanzó una promoción en donde regalaba 100 euros en aplicaciones Android. Ahora, Amazon retoma esa idea y va más allá, aumentando el valor de las aplicaciones de la promoción.
La última campaña de la compañía sitúa en 120 euros la selección de aplicaciones disponibles de forma gratuita por tiempo limitado. Se trata de un total de 27 aplicaciones que van a estar disponibles sin coste hasta el próximo sábado 27 de septiembre. Se trata así de una oportunidad única para conseguir gratis interesantes contenidos que suelen ser de pago.
Como ya ocurrió en julio, Amazon apuesta por contenidos variados para esta selección de 27 aplicaciones. Destaca por ejemplo la posibilidad de poder descargar el potente editor de documentos Office Suite Proffesional 7 de forma gratuita, que normalmente tiene un precio superior a los 11 euros. También es especialmente interesante la posibilidad de conseguir el diccionario en inglés Merriam-Webster's Third New International, que habitualmente supera los 40 euros de precio.
Para aquellos que estén interesados en juegos, la selección propuesta por Amazon integra títulos como Sonic 4, Heroes of Steel o Abyss: The Wraiths of Eden. Además hay otras aplicaciones interesantes como el popular teclado Swype, el servicio de mapas City Maps 2Go Pro o la herramienta mSecure.

Una amenaza para Google Play

Todos estos contenidos y el resto que componen la oferta se pueden instalar en los equipos Android. Solo es necesario acceder a Ajustes y permitir la instalación de contenidos desde una fuente que no sea Google Play. Una vez realizado ese paso, se puede conseguir la aplicación de Amazon que facilita el acceso a su tienda de aplicaciones y desde ahí acceder a estas 27 aplicaciones.
Con esta campaña Amazon vuelve a demostrar su interés por fomentar su tienda de contenidos Android, que con iniciativas de este tipo pretende ganar popularidad para competir con Google Play. Amazon cada vez cuenta con un catálogo más completo y la tienda de Google puede verse amenazada por iniciativas como esta.

Este tipo de acciones, sumada a la lista cada vez más amplia de equipos de Amazon puede ayudar a que esta parte de su negocio crezca. Más allá de esa competencia evidente entre Amazon y Google, los claros beneficiados son los usuarios, que pueden conseguir importantes descuentos y contenidos gratis como los que ahora se ofrecen.`

fuente

ARChon, permite ejecutar aplicaciones Android en Windows, Mac y Linux

ARChon, el ingrediente mágico que permite ejecutar aplicaciones Android en Windows, Mac y Linux



Hace unos días Google anunció una característica destacada para Chrome OS: la posibilidad de ejecutar aplicaciones Android a través del llamado App Runtime for Chrome (ARC). No todas las aplicaciones funcionaban, pero era una opción muy interesante para los usuarios del sistema operativo de los Chromebooks y Chrome Boxes.
Ahora esa opción se ha ampliado gracias al trabajo de un desarrollador con el alias "Vladikoff", que no solo ha logrado que ahora cualquier aplicación Android funcione en Chrome OS, sino que también lo hagan en otras plataformas como Windows, OS X y Linux gracias a un runtime al que ha bautizado como ARChon.
El truco reside en el ya mencionado ARC, que se desarrolla a través de Native Client, el proyecto de Google que permite ejecutar a Chrome código nativo de forma segura dentro del navegador. Aunque ARC fue distribuido como una extensión para Chrome OS, las extensiones Native Client se caracterizan por ser válidas de forma cruzada en todo tipo de plataformas.
Vladikoff ha desarrollado una versión personalizada de ARC a la que como comentábamos ha llamado ARChon, que se puede cargar arrastrando ese fichero en Chrome. A partir de ahí será posible ejecutar aplicaciones de Android en cualquier plataforma que haga uso de Chrome 37 y superior. El único problema es que ARC no soporta paquetes tradicionales de Android (los famosos APK), y antes hay que convertirlos a extensiones Chrome, algo que Vladikoff también ha resuelto con la herramienta chromeos-apk.
El resultado es la posibilidad de ejecutar diversas aplicaciones de Android en Chrome bajo Windows, OS X o Linux, y aunque en las pruebas preliminares queda claro que la estabilidad de esas herramientas aún es muy mejorable. La ejecución de dichas aplicaciones es muy rápida -por lo que dicen quien han probado el sistema, mucho más que la que ofrece Bluestacks-, pero la ausencia de soporte de Google Services hace que muchas aplicaciones -como Twitter- no funcionen.
Parece que esos problemas están también siendo tratados, y puede que a corto plazo veamos un lanzamiento oficial de Google en este apartado. Y con ello, por supuesto, más de 1.300 millones de aplicaciones estarán disponibles no solo en nuestro smartphone o tablet Android, sino también en nuestro PC o portátil.

<a href="http://www.youtube.com/watch?v=O-yFLqp_sXs" >http://www.youtube.com/watch?v=O-yFLqp_sXs</a>

Fuente

La próxima versión de Android cifrará los datos por defecto



La mayoría no lo sabe, pero desde hace unos tres años Android incorpora la posibilidad de cifrar los datos almacenados en los terminales. Vamos, que en los smartphones Android de hoy, si el usuario quiere mejorar su privacidad cifrando la información almacenada tiene que activar el sistema de encriptación, lo que según un portavoz de Google, responsables del sistema operativo móvil que nos ocupa, cambiará en la próxima versión del SO, Android L.

Concretamente, en Android L el cifrado de información vendrá activado por defecto, con lo que sólo el que conozca la contraseña asignada a cada terminal por el usuario podrá ver las imágenes, vídeos o mensajes guardados. Así lo ha confirmado Niki Christoff, el portavoz de Google que decíamos al principio, con las siguientes palabras:

Desde hace más de tres años Android ha ofrecido cifrado y las clave no se almacenan fuera del terminal, por lo que no se pueden compartir con agencias gubernamentales. Como parte de nuestra próxima versión de Android, el cifrado vendrá activado por defecto, por lo que ni siquiera tendrás que pensar en activarlo”
¿Y por qué cambian justo ahora de política sobre esto del sistema de cifrado? Bueno, pues por dos razones. La primera, que se deja entrever en la declaración anterior, porque buscan mejorar su imagen ante los usuarios en cuanto al tema de la privacidad, que después de las revelaciones de Snowden quedó tocada, demostrándoles que es importante para ellos y que no están dispuestos a plegarse a las peticiones de información de las agencias gubernamentales (al pasar a activar por defecto el sistema de encriptación en Android, y por la forma en que funciona, Google no podrá entregar datos de usuarios guardados en smartphones a los gobiernos y sus agencias aunque exista petición judicial mediante). Y la segunda, porque en las últimas horas Apple anunció un movimiento parecido en iOS 8 y esto es la respuesta de Google a ese movimiento.

Sea por lo que sea, el giro dando tanto por Apple como por Google son buenas noticias, al menos para los usuarios en general, que pasan a estar un poco más seguros ante ciberdelincuentes, las peticiones de información, casos de espionaje gubernamental etc, y para los que luchan por la defensa de la privacidad en particular. Eso sí, que nadie tire las campanas al vuelo, entre otras cosas porque los gobiernos continuarán teniendo muchas vías para hacerse con información privada de los usuarios (por ejemplo, en el caso de Apple, si un usuario tiene sincronizado el teléfono con iCloud, sus imágenes tomadas con él y demás serán almacenadas también ahí, a donde las agencias, policías, etc. sí podrán acceder, en principio sólo con autorizaciones judiciales pero probablemente también sin ellas).

fuente