Header Ads Widget

Ticker

6/recent/ticker-posts

Las 5 verdaderas conclusiones del circo de vulnerabilidad de la cámara de Android

¿Los atacantes sofisticados están secuestrando la cámara de su teléfono y robando sus secretos más preciados? Um, sí, sobre eso ...


No sé si has leído muchas noticias esta semana, pero parece que el cielo se está cayendo y todos estamos terriblemente condenados.

No, no estoy hablando de esa noticia, como de costumbre, esa es otra columna para otra publicación, sino de la noticia de que una falla de seguridad en algunas aplicaciones de cámara de Android podría convertir nuestros teléfonos en portales de espías que saquean la privacidad y poner fin a los humanos. La vida tal como la conocemos.

Quiero decir, ¿has visto algunos de estos titulares?

"Cientos de millones de cámaras de teléfonos Android pueden ser secuestradas por software espía"
"La falla de Android permite que las aplicaciones maliciosas tomen fotos y graben videos incluso si su teléfono está bloqueado"
"Una falla de Android permite que las aplicaciones accedan en secreto a las cámaras de las personas y carguen los videos en un servidor externo"
¡Santo hibisco, Henry! Incluso yo estoy temblando por todo eso, y sé que es un montón de tonterías sensacionalistas y equivocadas.

Retrocedamos por un segundo y proporcionemos algo de contexto a todo esto: una compañía llamada Checkmarx (una adivina cómo gana su dinero ) publicó un informe esta semana que detalla una vulnerabilidad que encontró en ciertas aplicaciones de cámara de los fabricantes de dispositivos Android. Esa debilidad permitió a los investigadores de la empresa crear una aplicación que podría capturar y recopilar fotos desde un teléfono sin el consentimiento de su propietario. Y sí, esa vulnerabilidad podría haber afectado a cientos de millones de personas.

[Obtenga nuevos consejos y conocimientos en su bandeja de entrada todos los viernes con el boletín informativo de Android Intelligence de JR . ¡Te esperan extras exclusivos!]
Sin embargo, como es habitual con este tipo de historias, hay algunos peros grandes y jugosos involucrados. Y esos peros amplios y relucientes son clave para comprender lo que realmente nos dice esta historia, lo que debemos sacar de ella y, lo que es más importante, por qué no deberíamos estar acobardados en búnkeres cuidadosamente cubiertos hasta nuevo aviso.

Vamos a analizarlo, ¿de acuerdo?

1. La aplicación en el centro de todo esto fue una creación de prueba de concepto, sin una implementación conocida en el mundo real.
Antes de ensuciar esos hermosos pantalones suyos, recuerde ante todo que todo esto fue una demostración de una compañía de seguridad : un acto de investigadores que buscan activamente una vulnerabilidad para explotar y, ya sabes, también usarla para promocionar su propio producto (gracioso cómo funciona eso siempre , ¿no?).

No fue, que nadie sepa, un acto real de robo de datos en el mundo real.

2. Aparte de eso, la configuración habría requerido que descargue e instale una aplicación aleatoria (teórica) para poder operar.
Esta no es una situación en la que su teléfono de repente comience a arrojar fotos personales a algún servidor aleatorio en el Mar Caspio. (Esos servidores de sirenas que viven en el mar son los peores, ¿no?) La vulnerabilidad en las aplicaciones de la cámara solo se podía explotar mediante una manipulación cuidadosa realizada por una aplicación secundaria , algo creado explícitamente para ese propósito y algo que tendrías que ir. fuera de su camino para descargar e instalar antes de que pudiera causar algún daño.

Una aplicación de este tipo nunca existió realmente, fuera de este experimento controlado. E incluso si lo hiciera, de nuevo, tendría que descargarlo antes de que pudiera hacer algo .

3. La vulnerabilidad fue reportada a Google y Samsung, quienes rápidamente corrigieron el error.
Después de descubrir este problema de puercoespín espinoso, los amigos de Checkmarx pasaron la olla llena de gulash a Google, y poco después también a Samsung, ya que se descubrió que la aplicación de su cámara también se vio afectada. Ambas empresas trabajaron para corregir el código en cuestión y, según se informa, han implementado parches para corregir la falla.

¿En cuanto a esa parte sobre "cientos de millones" de teléfonos afectados? Sí, eso se refería a los teléfonos Samsung, que, nuevamente, habían sido parcheados cuando todo esto se hizo público . Contrariamente a lo que sugieren algunos titulares sensacionales y perezosos, no hay nada que indique que cientos de millones de personas estén activamente en riesgo de esto de alguna manera.

4. Así es exactamente como la seguridad debería obligar a que el software evolucione.
Cualquier software (sistemas operativos de escritorio, sistemas operativos móviles, aplicaciones en cualquier plataforma, lo que sea) es inherentemente imperfecto. Esa es la naturaleza de la bestia; Siempre surgirán vulnerabilidades, ya sea que el software esté controlado por Google, Samsung, Apple o cualquier otra persona imaginable.

De hecho, esa es la razón por la que tantas empresas buscan activamente y, a veces, incluso pagan a las personas para que busquen fallas de seguridad en su software, para que puedan encontrarlas, corregirlas y continuar fortaleciendo sus programas. (Google está haciendo precisamente eso hoy, de hecho, con la expansión que acaba de anunciar de su programa Android Security Rewards , ahora con un premio máximo de $ 1.5 millones para cualquiera que descubra un error particularmente problemático). Es una evolución sin fin, y es la misma historia para Google que para todas las principales empresas de software.

En última instancia, lo que importa es que la empresa en cuestión responda a los problemas que se identifiquen y luego los parchee de inmediato, idealmente antes de que se produzca un daño real. Y eso es precisamente lo que estamos viendo en este escenario.

5. Este es un recordatorio de por qué son importantes las actualizaciones oportunas y por qué no debería utilizar teléfonos de empresas que no las proporcionan.
Si bien se señaló que Google y especialmente Samsung eran las principales preocupaciones de este problema, Checkmarx dice que las vulnerabilidades que descubrió podrían afectar las aplicaciones de la cámara en los dispositivos de otros fabricantes de teléfonos, y que "se contactó a varios proveedores" con la misma información más. hace más de un mes.

Ahora, nuevamente, recuerde lo que acabamos de hablar: no hay razón para creer que  un teléfono se encuentre en algún tipo de peligro inminente y realista debido a esto. Pero, claramente, este no es el tipo de vulnerabilidad, aunque sea teórica y que requiera descargas, que le gustaría dejar presente en su tecnología personal.

Entonces, más que nada, esto sirve como un fuerte recordatorio de lo importante que es tener un teléfono cuyo fabricante realmente se tome en serio la seguridad y envíe actualizaciones oportunas, no solo en situaciones específicas de aplicaciones como esta, sino también cuando se trata de Android. parches mensuales, que abordan tipos similares de fallas a nivel del sistema, y actualizaciones del sistema operativo Android, que incluyen innumerables mejoras de privacidad y seguridad y son mucho más que pintura y características nuevas .

Si no está utilizando un teléfono cuyo fabricante ofrece constantemente en todos esos frentes (y, seamos honestos, no hay muchos fabricantes de dispositivos que lo hagan ), se está optando por una seguridad menos que óptima a cambio. ¿para qué? ¿Algún hardware llamativo, tal vez, o una marca que haya comprado antes? Y, como siempre, es difícil ver cómo eso es aconsejable de alguna manera, especialmente cuando hay excelentes opciones fáciles de actualizar disponibles por tan solo unos pocos cientos de dólares .

Pero aún así, todo en perspectiva: el cielo no se está cayendo, Chicken Little, y cualquier vista fascinante que pueda verse a través de la lente de la cámara de su teléfono, con toda probabilidad, no se grabará en secreto ni se compartirá con ningún aspirante a voyeurs que anhele. un pío.

Un poco de pensamiento crítico y unas pocas preguntas simples son de gran ayuda cuando se trata de superar la exageración melodramática de los titulares en situaciones como esta. Y, como nos recuerda este último foofaraw, rara vez hay un motivo de pánico, no importa cuán sensacional pueda parecer un susto al principio.


Publicar un comentario

0 Comentarios