Un fallo de seguridad permite instalar APPS en ANDROID sin su consentimiento.

ataquesxssgoogleplay

La tienda de GOOGLE PLAY para ANDROID siempre ha permitido instalar APPS en un móvil a los usuarios conectados con su cuenta incluso en varios de sus dispositivos, y se ha instalado la APP en el dispositivo de forma automática.

Sin embargo se ha descubierto que mediante un ataque de Cross-Site  Scripting en la versión web de Play.google.com han conseguido unos hackers suplantar la identidad de un usuario y por lo tanto instalar APPS en los terminales sin su consentimiento “real”.

Sin entrar en muchos detalles técnicos: El ataque XSS se trata de una vulnerabilidad que muchos desarrolladores web dejan pasar, bien por falta de planificación o por desconocimiento Esta vulnerabilidad suele aparecer por la falta de mecanismos en el filtrado de los campos de entrada que dispone la web, permitiendo el envío de datos e incluso la ejecución  de scripts completos.

En mi experiencia profesional en telecomunicaciones me he enfrentado a las empresas españolas que a menudo cuentan con informáticos que no contemplan los niveles de seguridad adecuados en sus programaciones y de hecho he descubierto varios fallos importantes en operadores de telefonía móvil que podían permitir cobros indebidos en sus facturas e incluso la posibilidad de modificar su PIN del buzón o los mensajes de bienvenida de sus buzones de voz sin su permiso.  (cosas que he comprobado con mis propios números)

En mi opinión en las nuevas versiones del sistema operativo y en las antiguas lanzando un parche podrían anular la posibilidad de instalar APPS desde la web sin confirmar el permiso del usuario del terminal “¿Seguro que quiere instalar la APP en su terminal tal como solicito online?“.

Sin duda el futuro del Internet de las cosas requiere cada día de una mayor consciencia y apuesta por la seguridad informática y en NAVENETWORKS (mi empresa) contamos con profesionales que pueden ayudar a cualquier empresa por muy pequeña que sea a mejorar estos aspectos.

Para finalizar queda claro que ni GOOGLE se libra de fallos informáticos y probablemente con la publicación de estos fallos graves se oculten problemas mayores que por suerte ahora, conscientes de ellos podrán solucionar mucho más rápido.  

Enlaces: ThreadPost

Share
Publicado en Articulos.

Comments

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>