Descubren ‘llave maestra’ que da acceso no autorizado al 99,9% de los Android

Foto: Uncalno (vía Flickr).
Una compañía de seguridad descubrió una vulnerabilidad que permite a los hackers modificar el código APK de las aplicaciones, sin hacer cambios en su firma de seguridad original
Foto: Uncalno (vía Flickr).
Android es una de las plataformas móviles más atacadas. Foto: Uncalno (vía Flickr).

Android sigue siendo objetivo de los delincuentes informáticos. Ahora, Bluebox encontró una fallo de seguridad que afecta al 99% de los dispositivos con el sistema operativo móvil de Google.

Según reportó la compañía de seguridad en su blog oficial, se trata de una vulnerabilidad que permite a los hackers modificar el código APK de las aplicaciones, sin hacer cambios en su firma de seguridad original. El objetivo de este fallo es convertir aplicaciones legítimas en troyanos sin que esta acción sea percibida por la tienda de aplicaciones, el teléfono o el usuario.

Para Bluebox se trata de un problema bastante grave teniendo en cuenta que la vulnerabilidad podría afectar a cualquier teléfono Android lanzado en los últimos cuatro años, lo que en cifras se traduce a 900 millones de dispositivos.

“Dependiendo del tipo de aplicación, un pirata puede explotar esta falla para cualquier cosa, desde robar datos a crear una red botnet móvil”, indicó la compañía de seguridad.

Bluebox explicó en su blog oficial la forma en que funciona la vulnerabilidad: todas las aplicaciones Android tienen firmas criptográficas que son utilizadas por el sistema operativo para determinar si la app es legítima y para verificar que no ha sido alterada o modificada. Lo que hace el fallo es permitir a los delincuentes cambiar el APK de la aplicación sin afectar su firma criptográfica.

Mientras se soluciona el problema, la firma de seguridad propone a los usuarios ser muy prudentes a la hora de identificar el desarrollador de la aplicación que quieren descargar y hacer lo posible por hacer las descargas directamente desde la tienda de aplicaciones o desde la página del desarrollador.

Éricka Duarte Roa

Éricka Duarte Roa

Antes que nada, debo confesar que la tecnología me era indiferente, pero desde que me topé con ella me enamoré y ha llegado a ser parte de mí. ENTER.CO ha sido mi trabajo y mi casa desde hace un año y gracias a este medio he podido desempeñar el oficio y la profesión que amo: el periodismo.
Me apasiona el tema del funcionamiento y la influencia que tienen las redes sociales en el ser humano, me encanta el todo lo relacionado a la ciberseguridad y considero que los ataques informáticos pueden llegar a tener casi el mismo poder de una bomba atómica. Soy fan de Apple, compradora compulsiva de tecnología y adicta a Twitter.

View all posts

230 comments

  • Lo peor de todo es que otras fuentes afirman que el único que no tiene esa vulnerabilidad es el GS4, raro no?. Por otro lado me gusta que encuentren esas vulnerabilidades, eso sólo ayuda a mejorar la seguridad.

    • O a que la gente se coma el cuento de que el S4 es inmune, se supone que solo es una capa de personalizacion, como es que esta libre y los demas no?

      • no hay un sistema 100% inmune, parta de esa base. Y el que crea que un S4, un Iphone, IOS o Android son inmunes o perfectos, es un ingenuo o un poco ignorante. Acá lo único seguro es que siempre van a existir personas buscando entradas a los OS.Y gracias a estas personas que encuentran errores y puertas, algunos desocupados y otros de empresas de antivirus, se mejoran los sistemas.

    • un fanatismo estúpido, el único S4 medianamente seguro es el que viene Knox y esooooooooo, apenas como por decir… el Sistema Android (probablemente por lo popular *lo cual no significa necesariamente bueno*), es como una casa a la cual le cierras todas las ventanas pero entregas la llave de la puerta….

      • Personalmente encuentro molesto el hecho de que existan fuentes que digan ese tipo de cosas como que el S4 es inmune. Respecto a la seguridad, siempre he pensado que eso depende en un 99% del usuario, pero como decía, me parece bueno que aparezcan estas fallas porque asi los beneficiados seremos los usuarios.

      • Tranquilo «Boby», a mi me gusta Android. Pero si ese fanatismo estúpido es bastante absurdo!!

    • Otra vez… ya leiste la nota de prensa?? En ninguna parte dice que el S4 no tiene la falla.

  • Lo peor de todo es que otras fuentes afirman que el único que no tiene esa vulnerabilidad es el GS4, raro no?. Por otro lado me gusta que encuentren esas vulnerabilidades, eso sólo ayuda a mejorar la seguridad.

    • O a que la gente se coma el cuento de que el S4 es inmune, se supone que solo es una capa de personalizacion, como es que esta libre y los demas no?

      • no hay un sistema 100% inmune, parta de esa base. Y el que crea que un S4, un Iphone, IOS o Android son inmunes o perfectos, es un ingenuo o un poco ignorante. Acá lo único seguro es que siempre van a existir personas buscando entradas a los OS.Y gracias a estas personas que encuentran errores y puertas, algunos desocupados y otros de empresas de antivirus, se mejoran los sistemas.

    • un fanatismo estúpido, el único S4 medianamente seguro es el que viene Knox y esooooooooo, apenas como por decir… el Sistema Android (probablemente por lo popular *lo cual no significa necesariamente bueno*), es como una casa a la cual le cierras todas las ventanas pero entregas la llave de la puerta….

      • Personalmente encuentro molesto el hecho de que existan fuentes que digan ese tipo de cosas como que el S4 es inmune. Respecto a la seguridad, siempre he pensado que eso depende en un 99% del usuario, pero como decía, me parece bueno que aparezcan estas fallas porque asi los beneficiados seremos los usuarios.

      • Tranquilo «Boby», a mi me gusta Android. Pero si ese fanatismo estúpido es bastante absurdo!!

    • Otra vez… ya leiste la nota de prensa?? En ninguna parte dice que el S4 no tiene la falla.

  • Curioso que solo El galaxy s4 esta libre de esa vulnerabilidad, al parecer estan vendiendo humo

      • Aquí:

        www . xatakandroid . com/moviles-android/vulnerabilidad-que-afecta-a-casi-la-totalidad-de-dispositivos-android-descubierta

        O Aquí:

        www . celularis . com/opinion/solucionar-la-vulnerabilidad-de-bluebox/

        • Jajaja!!! NO, estas equivocado en la nota de prensa jamas hablan de S4 lo cabo de leer…

          • Deberías leer la nota de prensa!!! Detenidamente… haber!!! Nadie cambia el sistema de encriptacion sin de un momento a otro y en silencio sin que los desarrolladores se de cuenta…

          • Que Enter no hable del S4 no significa que en otras páginas no lo nombren. Aprenda a investigar antes de decir cualquier cosa. Y es a ver, no haber…

          • Lee la nota de Prensa de BlueBox y lee el Bug!!! espera y te paso el link del bug completo

            www . blackhat . com/us-13/briefings.html#Forristal

            Ahora, dudo mucho que el bug halla sido resulto el mismo dia que fue creado. Si fue hace un a;o, sin embargo nadie cambia los sistema de encriptacion de un momento a otro sin mencionarlo y ni mucho menos sin que nadie se de cuenta. Eso quiere decir que el bug todavia esta en el S4, ahora bien estoy analizando la version de andorid que tiene el S4. Y hasta el momento tiene el mismo codigo de encriptacion que el 2.2 (En el que programo las aplicaciones). Por ende estas errado.

            Ahaha!! cosa tan rara!! tampoco hablan en BlueBox y tampoco en blackhat del S4… que son quienes descrubireron el Bug!!

          • La persona de arriba pregunta «Donde dice lo del S4?» Le respondí con enlaces que hablaban del celular. Si la nota de prensa original no lo señala es diferente, solo respondo a lo que preguntaron.

          • Ok. no ahy problem, pero sigue siendo dudable la afirmación de «El S4 no esta comprometido con el bug de seguridad de encriptacion numero 8219321»,,, y dejemolo como que esta en el limbo esa afirmación

            y deja de pelar aquí te dejo el codigo en github
            https:// github . com/android/platform_packages_apps_packageinstaller

          • Lo siento, pero parece mas promocion hacia el S4 que otra cosa…pero para esto solo habla mal de android.

          • No es mi intención, sólo se me hacía raro que en ciertas páginas comentarán que el S4 era ‘inmune’ a este bug por eso los enlaces que dejé. Pero con toda la información que a puesto Alejandro me hace dudar de lo expuesto en los otros blogs que he leído sobre el tema.

      • Hombre… lee el titulo, el S4 esta incluido en la categoría del 99.9%. Si no fuese a si diría el 80% de los android!

    • perdon pero que tiene que ver el sistema con el dispositivo…
      si es un troyano depende del sistema y que se abra no de si es samsung…

    • La categoría de 99.9% dice que el S4 y todos (Casi) están incluidos!!!

      Formas para que no tu movil no este incluido en la categoria de 99.9%
      – Que sea Apple, Blackberry(Tengo mis dudas), Tizen, Ubuntu, WinPhone, Firefox
      – Que halla sido modificado internamente la claves criptográficas de certificación de aplicaciones. Es decir Militares, CIA, Nasa y agencias de seguridad (Y tengo mis dudas)
      – Que el mobil sea infuncional o que este da;ado completamente.
      – Que tenga Android 1.5 o anterior (No los encuentras en el mercado)

      Si tu mobil pertenece alguna de esas características o categorías no tienes problemas. De resto tienes la falla de seguridad…

      • amigo, BB fue el que mejor calificación sacó por el departamento de estado de USA para el uso de red interna… está bieeen lejos de tener esos fallos de seguridad

        • Pues como se pueden importar las aplicaciones desde Android, por eso tengo mis dudas. Pero si… ajajajajajaja!!

  • Curioso que solo El galaxy s4 esta libre de esa vulnerabilidad, al parecer estan vendiendo humo

      • Aquí:

        www . xatakandroid . com/moviles-android/vulnerabilidad-que-afecta-a-casi-la-totalidad-de-dispositivos-android-descubierta

        O Aquí:

        www . celularis . com/opinion/solucionar-la-vulnerabilidad-de-bluebox/

        • Jajaja!!! NO, estas equivocado en la nota de prensa jamas hablan de S4 lo cabo de leer…

          • Deberías leer la nota de prensa!!! Detenidamente… haber!!! Nadie cambia el sistema de encriptacion sin de un momento a otro y en silencio sin que los desarrolladores se de cuenta…

          • Que Enter no hable del S4 no significa que en otras páginas no lo nombren. Aprenda a investigar antes de decir cualquier cosa. Y es a ver, no haber…

          • Lee la nota de Prensa de BlueBox y lee el Bug!!! espera y te paso el link del bug completo

            www . blackhat . com/us-13/briefings.html#Forristal

            Ahora, dudo mucho que el bug halla sido resulto el mismo dia que fue creado. Si fue hace un a;o, sin embargo nadie cambia los sistema de encriptacion de un momento a otro sin mencionarlo y ni mucho menos sin que nadie se de cuenta. Eso quiere decir que el bug todavia esta en el S4, ahora bien estoy analizando la version de andorid que tiene el S4. Y hasta el momento tiene el mismo codigo de encriptacion que el 2.2 (En el que programo las aplicaciones). Por ende estas errado.

            Ahaha!! cosa tan rara!! tampoco hablan en BlueBox y tampoco en blackhat del S4… que son quienes descrubireron el Bug!!

          • La persona de arriba pregunta «Donde dice lo del S4?» Le respondí con enlaces que hablaban del celular. Si la nota de prensa original no lo señala es diferente, solo respondo a lo que preguntaron.

          • Ok. no ahy problem, pero sigue siendo dudable la afirmación de «El S4 no esta comprometido con el bug de seguridad de encriptacion numero 8219321»,,, y dejemolo como que esta en el limbo esa afirmación

            y deja de pelar aquí te dejo el codigo en github
            https:// github . com/android/platform_packages_apps_packageinstaller

          • Lo siento, pero parece mas promocion hacia el S4 que otra cosa…pero para esto solo habla mal de android.

          • No es mi intención, sólo se me hacía raro que en ciertas páginas comentarán que el S4 era ‘inmune’ a este bug por eso los enlaces que dejé. Pero con toda la información que a puesto Alejandro me hace dudar de lo expuesto en los otros blogs que he leído sobre el tema.

      • Hombre… lee el titulo, el S4 esta incluido en la categoría del 99.9%. Si no fuese a si diría el 80% de los android!

    • perdon pero que tiene que ver el sistema con el dispositivo…
      si es un troyano depende del sistema y que se abra no de si es samsung…

    • La categoría de 99.9% dice que el S4 y todos (Casi) están incluidos!!!

      Formas para que no tu movil no este incluido en la categoria de 99.9%
      – Que sea Apple, Blackberry(Tengo mis dudas), Tizen, Ubuntu, WinPhone, Firefox
      – Que halla sido modificado internamente la claves criptográficas de certificación de aplicaciones. Es decir Militares, CIA, Nasa y agencias de seguridad (Y tengo mis dudas)
      – Que el mobil sea infuncional o que este da;ado completamente.
      – Que tenga Android 1.5 o anterior (No los encuentras en el mercado)

      Si tu mobil pertenece alguna de esas características o categorías no tienes problemas. De resto tienes la falla de seguridad…

      • amigo, BB fue el que mejor calificación sacó por el departamento de estado de USA para el uso de red interna… está bieeen lejos de tener esos fallos de seguridad

        • Pues como se pueden importar las aplicaciones desde Android, por eso tengo mis dudas. Pero si… ajajajajajaja!!

    • En realidad si tienes jailbreak ya estas siendo atacado con las aplicaciones que se instalen fuera del appstore… Es exactamente lo mismo… O si en Windows instalas juegos piratas…. Lo mismo…. La culpa es del usuario facilista

        • en lo personal no me molesta… y en realidad no cuestan mucho… valorar el trabajo de un desarrollador por 1 o 2 dolares… me parece lo mas justo del mundo!!

          • Buen punto, no lo había visto de esa manera. Pero si creo que la palabra «facilista» sobra.

        • no todo es regalado en esta vida… jajaja.. o que crees que tus cuentas de facebook, o gmail, son gratis… jajaja… las empresas cobran por un lado o por otro… y lo de realista… tampoco cuadra, realismo: tener 6´000.000 de aplicaciones e instalar 50 en tu equipo para que utilices 10 y el resto sea basura… jajaja

        • Y que pensarías si en tu trabajo dijeran, no voy a pagarle a Andreew… bueno, eso ya es meternos a temas económicos…

    • En realidad si tienes jailbreak ya estas siendo atacado con las aplicaciones que se instalen fuera del appstore… Es exactamente lo mismo… O si en Windows instalas juegos piratas…. Lo mismo…. La culpa es del usuario facilista

        • en lo personal no me molesta… y en realidad no cuestan mucho… valorar el trabajo de un desarrollador por 1 o 2 dolares… me parece lo mas justo del mundo!!

          • Buen punto, no lo había visto de esa manera. Pero si creo que la palabra «facilista» sobra.

        • no todo es regalado en esta vida… jajaja.. o que crees que tus cuentas de facebook, o gmail, son gratis… jajaja… las empresas cobran por un lado o por otro… y lo de realista… tampoco cuadra, realismo: tener 6´000.000 de aplicaciones e instalar 50 en tu equipo para que utilices 10 y el resto sea basura… jajaja

        • Y que pensarías si en tu trabajo dijeran, no voy a pagarle a Andreew… bueno, eso ya es meternos a temas económicos…

  • Para nadie es un secreto el desorden y la anarquía que hay detrás de android; aún así sabiendo esto, hay muchos que lo siguen usando y seguirán. Cada quien se hace responsable de su seguridad.

  • Para nadie es un secreto el desorden y la anarquía que hay detrás de android; aún así sabiendo esto, hay muchos que lo siguen usando y seguirán. Cada quien se hace responsable de su seguridad.

  • El sistema que mas se usa, es el que mas atacan… En los PC Windows en los Smartphone Android… Ahora falta que Android use «Android Update» y envíe actualizaciones del sistema para tapar los huecos de seguridad… Jejejejeje

    • No se puede que sea así… Es un poco mas complejo. Por que como actualizas todas las aplicaciones de la tienda Google Play por cambiar el algoritmo de encriptacion de llaves.. En pocas palabras para que salga una actualización se demora y mucho!!

      • Alejandro, creo yo que su comentario de las actualizaciones es más sarcástico o irónico que en serio… Hay que darle un poco de sabor a la vida 😛

  • El sistema que mas se usa, es el que mas atacan… En los PC Windows en los Smartphone Android… Ahora falta que Android use «Android Update» y envíe actualizaciones del sistema para tapar los huecos de seguridad… Jejejejeje

    • No se puede que sea así… Es un poco mas complejo. Por que como actualizas todas las aplicaciones de la tienda Google Play por cambiar el algoritmo de encriptacion de llaves.. En pocas palabras para que salga una actualización se demora y mucho!!

      • Alejandro, creo yo que su comentario de las actualizaciones es más sarcástico o irónico que en serio… Hay que darle un poco de sabor a la vida 😛

  • Que vaina primero atacaban a Windows y hacían hasta virus y pues decían que era de lo peor, ahora siguen con Android un hijo de Linux (ya que tiene su mismo kernel) y decían que a Linux NO le daba virus bahhh Sistema Operativo que se vuelva popular es un sistemas que hackearan y harán virus para el. Bienvenido a ese mundo Android,

    • Esta vulnerabilidad no tiene nada que ver con Linux, sino con la plataforma android que va sobre el kernel. El kernel de android tampoco se ve afectado por esta falla que ocurre «aguas arriba»

    • Otra vez, el error o la falla de seguridad es un problema criptográfico de certificación de aplicaciones. En pocas palabras, no tiene nada que ver con Linux!

    • Empecemos aclarando que Android es una suerte de «Linux bastardo» que corre puras aplicaciones java…

  • Que vaina primero atacaban a Windows y hacían hasta virus y pues decían que era de lo peor, ahora siguen con Android un hijo de Linux (ya que tiene su mismo kernel) y decían que a Linux NO le daba virus bahhh Sistema Operativo que se vuelva popular es un sistemas que hackearan y harán virus para el. Bienvenido a ese mundo Android,

    • Esta vulnerabilidad no tiene nada que ver con Linux, sino con la plataforma android que va sobre el kernel. El kernel de android tampoco se ve afectado por esta falla que ocurre «aguas arriba»

    • Otra vez, el error o la falla de seguridad es un problema criptográfico de certificación de aplicaciones. En pocas palabras, no tiene nada que ver con Linux!

    • Empecemos aclarando que Android es una suerte de «Linux bastardo» que corre puras aplicaciones java…

  • Aqui el problema es el usuario final que es un imbecil. Le dicen no y el dice si y siguen destapando cartas nigerianas.

  • Aqui el problema es el usuario final que es un imbecil. Le dicen no y el dice si y siguen destapando cartas nigerianas.

  • Esto lo que dice es que si descargamos el apk de una fuente desconocida podriamos correr el riesgo de que este modificada, si la descargamos desde las tiendas oficiales no se correra ningun riesgo…. nota demasiado alarmista para lo que en realidad es

    • Tiene razón y se concluye que el que abre la puerta de un sistema no es tanto el sistema mismo sino el usuario de éste.

    • tienes razon, hay que tener encuenta que mucha gente descarga estas aplicaciones de fuentes inciertas, hasta las mismas room que uno quiere usar ya traen aplicaciones instaladas que podrían contener este tipo de falla.

      Igual la responsabilidad recae en uno en el uso que le de al móvil y que tipo aplicaciones instala.

    • En teoria!!! Si un «hacker» ataca un cuenta oficial como la de Dropbo/.Facebook/Twitter, pues ahy tenemos muchos pero demasiados problemas!

  • Esto lo que dice es que si descargamos el apk de una fuente desconocida podriamos correr el riesgo de que este modificada, si la descargamos desde las tiendas oficiales no se correra ningun riesgo…. nota demasiado alarmista para lo que en realidad es

    • Tiene razón y se concluye que el que abre la puerta de un sistema no es tanto el sistema mismo sino el usuario de éste.

    • tienes razon, hay que tener encuenta que mucha gente descarga estas aplicaciones de fuentes inciertas, hasta las mismas room que uno quiere usar ya traen aplicaciones instaladas que podrían contener este tipo de falla.

      Igual la responsabilidad recae en uno en el uso que le de al móvil y que tipo aplicaciones instala.

    • En teoria!!! Si un «hacker» ataca un cuenta oficial como la de Dropbo/.Facebook/Twitter, pues ahy tenemos muchos pero demasiados problemas!

  • un fanatismo estúpido, el único S4 medianamente seguro es el que viene
    Knox y esooooooooo, apenas como por decir… el Sistema Android
    (probablemente por lo popular *lo cual no significa necesariamente
    bueno*), es como una casa a la cual le cierras todas las ventanas pero
    entregas la llave de la puerta

    • Porque no lo vi en la nota que vulneraban todos los iphone. Cualquier experto en seguridad te dice que ningún sistema es seguro.

      • jajajaa hermano, yo no soy iFan, yo uso Blackberry 10 (que por cierto no es infalible, pero si tiene el standar mas alto de confiabilidad y seguridad en todos sus componentes, sobretodo con el BB Balance). solo digo que Android por ser tan abierto (esto lo digo de Abogado que chismosea tecnología), nunca va a poder ser una plataforma segura, NUNCA. Por eso en el Ministerio de Defensa de USA, solo se admitió (de Android) el S4 con Knox (y con muchas limitaciones, igualmente el iOS (con muchaaas limitaciones y restricciones) y a BB si le aceptaron OS7 y 10.

        • Hola Ruben. Muy buena su respuesta, pero debe primero considerar que técnicamente hablando existe 2 tipos de seguridad informática: 1 por ocultación 2 por diseño.
          Si fuera cierto lo de ser abierto, los computadores de la NASA y demás agencias tendrían Windows o MACOS y no LINUX.
          Android esta apenas en etapa de maduración lo que significa que apenas se están cubriendo todas las fallas evidentes, al contrario plataformas como Blackberry o MACOS o WINDOWS, nunca serán fiables pues la única seguridad que tienen es que se han ocultado su código, por ende los únicos que responden o reparan sus fallas son la misma empresa, es por eso que la respuesta de un parche critico por decirlo en Windows toma días o a veces hasta meses, mientras en Linux es casi instantáneo.
          Te puedo aconsejar que no te fíes de blackberry solo por los publi-reportajes o negocios con una o dos agencias, Puedes hacer una búsqueda sencilla en google donde puedes darte cuenta que hay programas para «chuzar» blackberry, iphone, android y hasta nokia que no superan los 500USD y en algunos la instalación es tan sencilla como mandarle una foto a la victima.
          Te repito con entendimiento profundo del tema, no hay sistema seguro.
          Las firmas digitales son las mismas en las que confiaron cuando sucedio el ataque a las plantas nucleares con Stuxnet. Es tanto que en nokia había una aplicación para firmar una app symbian con la firma de cualquier aplicación que usted quisiera.
          Te lo digo, he sido diseñador de interfaz durante ya casi 12 años he instalado y mantenido servidores con sistemas desde Solarix hasta OS2. La seguridad es una ilusión. Y la peor ilusión es por ocultación.

          • Error, cualquier sistema es vulnerable. Los Linux puede tener acceso a root reiniciando la maquina. Te lo dejo de ese tama;o

    • La verdad, si es mejor que iOS. Y tiene un nivel de seguridad mejor, sin embargo cuando aparecen este tipo de fallas de seguridad se vuelve en un blanco fácil.

  • un fanatismo estúpido, el único S4 medianamente seguro es el que viene
    Knox y esooooooooo, apenas como por decir… el Sistema Android
    (probablemente por lo popular *lo cual no significa necesariamente
    bueno*), es como una casa a la cual le cierras todas las ventanas pero
    entregas la llave de la puerta

    • Porque no lo vi en la nota que vulneraban todos los iphone. Cualquier experto en seguridad te dice que ningún sistema es seguro.

      • jajajaa hermano, yo no soy iFan, yo uso Blackberry 10 (que por cierto no es infalible, pero si tiene el standar mas alto de confiabilidad y seguridad en todos sus componentes, sobretodo con el BB Balance). solo digo que Android por ser tan abierto (esto lo digo de Abogado que chismosea tecnología), nunca va a poder ser una plataforma segura, NUNCA. Por eso en el Ministerio de Defensa de USA, solo se admitió (de Android) el S4 con Knox (y con muchas limitaciones, igualmente el iOS (con muchaaas limitaciones y restricciones) y a BB si le aceptaron OS7 y 10.

        • Hola Ruben. Muy buena su respuesta, pero debe primero considerar que técnicamente hablando existe 2 tipos de seguridad informática: 1 por ocultación 2 por diseño.
          Si fuera cierto lo de ser abierto, los computadores de la NASA y demás agencias tendrían Windows o MACOS y no LINUX.
          Android esta apenas en etapa de maduración lo que significa que apenas se están cubriendo todas las fallas evidentes, al contrario plataformas como Blackberry o MACOS o WINDOWS, nunca serán fiables pues la única seguridad que tienen es que se han ocultado su código, por ende los únicos que responden o reparan sus fallas son la misma empresa, es por eso que la respuesta de un parche critico por decirlo en Windows toma días o a veces hasta meses, mientras en Linux es casi instantáneo.
          Te puedo aconsejar que no te fíes de blackberry solo por los publi-reportajes o negocios con una o dos agencias, Puedes hacer una búsqueda sencilla en google donde puedes darte cuenta que hay programas para «chuzar» blackberry, iphone, android y hasta nokia que no superan los 500USD y en algunos la instalación es tan sencilla como mandarle una foto a la victima.
          Te repito con entendimiento profundo del tema, no hay sistema seguro.
          Las firmas digitales son las mismas en las que confiaron cuando sucedio el ataque a las plantas nucleares con Stuxnet. Es tanto que en nokia había una aplicación para firmar una app symbian con la firma de cualquier aplicación que usted quisiera.
          Te lo digo, he sido diseñador de interfaz durante ya casi 12 años he instalado y mantenido servidores con sistemas desde Solarix hasta OS2. La seguridad es una ilusión. Y la peor ilusión es por ocultación.

          • Error, cualquier sistema es vulnerable. Los Linux puede tener acceso a root reiniciando la maquina. Te lo dejo de ese tama;o

    • La verdad, si es mejor que iOS. Y tiene un nivel de seguridad mejor, sin embargo cuando aparecen este tipo de fallas de seguridad se vuelve en un blanco fácil.

  • Ellos ya sabian del fallo, lo que pasa es que lo ocultaron y solucionaron en la 4.2.2. asi le dan publicidad indirecta al S4, pero el resto abandonados o buscando roms cocinadas, y el usuario que no quiere pagar para que le instalen esto, o no quiere dejar un ladrillo por si se equivoca? que gran soporte y aun venden con 2,3 que mas abandonados seran…
    definitivamente si no son Android de alta gama y no quiere ponerse a instalar cosas no oficiales alejese de los modelos baratos y de media clase…

    • Entonces el que es inmune es 4.2.2 y no solamente el S4? si es así entonces también toda la serie nexus y el HTC One son inmunes desde que salen de fabrica

    • No, es un fallo de claves de encriptacion. Es decir que el fallo no es propiamente del teléfono, sino de la encriptacion a utilizar. No es fácil solucionarlo, ahora bien si una atacante llega a ser una incursión de este tipo, lo mas probable va hacer que va a obtener millones de datos de millones de usuarios. No solo tu…

      El riesgo es mucho mayor!! TODOS desde 1.6 en adelante!!! Es decir no importa si ex Nexus o S4 o S150!! Todos!!! (La unica seria que cambiaras el sistema operativo, o que fuese una modificación del sistema de encriptacion que dudo que tengas el nivel para hacer eso )

  • Ellos ya sabian del fallo, lo que pasa es que lo ocultaron y solucionaron en la 4.2.2. asi le dan publicidad indirecta al S4, pero el resto abandonados o buscando roms cocinadas, y el usuario que no quiere pagar para que le instalen esto, o no quiere dejar un ladrillo por si se equivoca? que gran soporte y aun venden con 2,3 que mas abandonados seran…
    definitivamente si no son Android de alta gama y no quiere ponerse a instalar cosas no oficiales alejese de los modelos baratos y de media clase…

    • Entonces el que es inmune es 4.2.2 y no solamente el S4? si es así entonces también toda la serie nexus y el HTC One son inmunes desde que salen de fabrica

    • No, es un fallo de claves de encriptacion. Es decir que el fallo no es propiamente del teléfono, sino de la encriptacion a utilizar. No es fácil solucionarlo, ahora bien si una atacante llega a ser una incursión de este tipo, lo mas probable va hacer que va a obtener millones de datos de millones de usuarios. No solo tu…

      El riesgo es mucho mayor!! TODOS desde 1.6 en adelante!!! Es decir no importa si ex Nexus o S4 o S150!! Todos!!! (La unica seria que cambiaras el sistema operativo, o que fuese una modificación del sistema de encriptacion que dudo que tengas el nivel para hacer eso )

  • Mala cosa, en todo caso queda todavía más claro que la seguridad depende en mayor medida, del usuario. La recomendación sigue siendo la misma de siempre: nunca descargar APKs de fuentes no oficiales. Pero aceptemoslo, es una falla grave… En todo caso eso es lo que le pasa a cualquier sistema operativo que alcance suficiente popularidad, ya lo vivió Windows, ahora le toca a Android, que claro, además se la deja más fácil a los hacker, al ser tan abierto, pero aunque fuera muy cerrado sería vulnerable porque su alta popularidad genera el interés en crear malware que lo afecte.

  • Mala cosa, en todo caso queda todavía más claro que la seguridad depende en mayor medida, del usuario. La recomendación sigue siendo la misma de siempre: nunca descargar APKs de fuentes no oficiales. Pero aceptemoslo, es una falla grave… En todo caso eso es lo que le pasa a cualquier sistema operativo que alcance suficiente popularidad, ya lo vivió Windows, ahora le toca a Android, que claro, además se la deja más fácil a los hacker, al ser tan abierto, pero aunque fuera muy cerrado sería vulnerable porque su alta popularidad genera el interés en crear malware que lo afecte.

  • Para que me entienda afecta a todos los Android desde el 1.6 en adelante y con excepción de las firmas que modificaron internamente el comportamiento criptográfico (Ninguno de esos aparatos se vende en Colombia). El fallo de seguridad consiste principalmente, en una llave maestra al nivel criptográfico, de actualización e instalación de aplicaciones. Es decir, que jamas se reconocerá como una aplicación «falsa», por que es una llave maestra.

    La único que se puede hacer para protegerse (No importa si tienes S4 o el S1234534453), es instalar aplicaciones directamente de Google Play, y evitar el sistema de actualización automática de aplicaciones de terceros. Ejemplo la aplicación de FB para actualizar.

    Tendran que rehacer todo el sistema criptográfico. Eso quiere decir que no es una actualización, se solucionara el problema a partir de la ultima versión de Andorid, lanzada. Es decir si están en la 4.2.2 sera desde la 4.2.3, se solucionara el fallo de seguridad. Eso siendo muy pero muy pero muy optimistas…

    Por que están complicado cambiar? Por que tendrían que cambiar todas las aplicaciones (Cada aplicación tiene una llave diferente para cada usuario). Hacer el cambio costaría mucho dinero, únicamente van a ser la actualización y evitar fallo de seguridad, pero los moviles que tienen el fallo se quedaran asi (Es lo mas probable!)
    En pocas palabras NADIE SE SALVA!! Ni Google!!

    • osea que consiste en que el culpable es el usuario(por instalar fuera del play store)… bueno, al fin y al cabo eso tienen por usar apps crackeadas… espera… y si modifican el play store? bueno al fin y al cabo si usas windows te expones al mismo trato.

      • No justificaría eso, y además se tiene que solucionar el problema lo mas pronto posible, pero por ahora evitar aplicaciones de dudosa procedencia y utilizar solo al Google Play …mmm He realmente ese es el problema que la única defensa que se tiene en la actualidad es Google Play y para todos es grave. La verdad detestable…

        Y mas que todo es «tenga cuidado»…

    • Alejo estas desinformando.
      Ya en google publicaron los parches que corrigen, el S4 con android 4.2.2 no era vulnerable lee las fuentes de la noticia el porque dicen el 99% y no el 100%.
      Mira que tan fácil es conseguir permisos de fabricante (grabar llamadar, reenviar sms) con una app tanto en ios como en android:
      spyonyourmobile(punto)com/es/?gclid=CLKDgqXnorgCFWIV7Aod_lwAvQ

      No es sino que parchen esta para que los fabricantes de aplicaciones encuentren otro hueco, es imposible una seguridad total en los teléfonos. las firmas siempre han sido uno de los puntos débiles, aun desde la época de nokia.

      • Bueno, todavía tengo mis serias dudas por que leí el código. Ahora solo falta esperar para que envíen el Pache. Solucionado el problema…

      • como escribi en otro comentario… porque hasta ahora empiezan la publicación del parche si el SIV salio hace ya bastante tiempo y viene libre del error!!! solamente estamos mirando la superficie del problema… esto me hace pensar.. si hay otro error… será que se quedaran callados hasta que alguien los delate!!!

        • Se demoraron 5 días, ellos no estaban ocultando sólo que no sabían del error, ningún software es perfecto, solo alguien que no entiende de esto puede pensar algo así.

          • Tocaría analizar que suena más conspiranoico, pretender que Google sabía del error durante muchos años pero malvada mente lo oculto aún con los problemas que luego serían parchear varias versiones de android.
            O que ocurrió como suele ocurrir en el software y y es que alguien encontró este exploit que fue parte de un descuido en programación.

          • Muchos a;os ???? UNO solo a;o!!! Y cuando se reporto nadie sabia si era posible que ocurriera!

      • Ahora…. no creo que el 4.2.2 sea solo el 1% si haces cuentas, eso solo teda los Android <1.6 (Es decir por debajo a 1.6). Hasta ahora nadie me ha demostrado que el parche estaba!! Por que para ello debes mostrar el código donde esta el parche o el historial de commits. En pocas palabras, solo con el código que fue parcheado después de este anuncio, no existe otro parche!

  • Para que me entienda afecta a todos los Android desde el 1.6 en adelante y con excepción de las firmas que modificaron internamente el comportamiento criptográfico (Ninguno de esos aparatos se vende en Colombia). El fallo de seguridad consiste principalmente, en una llave maestra al nivel criptográfico, de actualización e instalación de aplicaciones. Es decir, que jamas se reconocerá como una aplicación «falsa», por que es una llave maestra.

    La único que se puede hacer para protegerse (No importa si tienes S4 o el S1234534453), es instalar aplicaciones directamente de Google Play, y evitar el sistema de actualización automática de aplicaciones de terceros. Ejemplo la aplicación de FB para actualizar.

    Tendran que rehacer todo el sistema criptográfico. Eso quiere decir que no es una actualización, se solucionara el problema a partir de la ultima versión de Andorid, lanzada. Es decir si están en la 4.2.2 sera desde la 4.2.3, se solucionara el fallo de seguridad. Eso siendo muy pero muy pero muy optimistas…

    Por que están complicado cambiar? Por que tendrían que cambiar todas las aplicaciones (Cada aplicación tiene una llave diferente para cada usuario). Hacer el cambio costaría mucho dinero, únicamente van a ser la actualización y evitar fallo de seguridad, pero los moviles que tienen el fallo se quedaran asi (Es lo mas probable!)
    En pocas palabras NADIE SE SALVA!! Ni Google!!

    • osea que consiste en que el culpable es el usuario(por instalar fuera del play store)… bueno, al fin y al cabo eso tienen por usar apps crackeadas… espera… y si modifican el play store? bueno al fin y al cabo si usas windows te expones al mismo trato.

      • No justificaría eso, y además se tiene que solucionar el problema lo mas pronto posible, pero por ahora evitar aplicaciones de dudosa procedencia y utilizar solo al Google Play …mmm He realmente ese es el problema que la única defensa que se tiene en la actualidad es Google Play y para todos es grave. La verdad detestable…

        Y mas que todo es «tenga cuidado»…

    • Alejo estas desinformando.
      Ya en google publicaron los parches que corrigen, el S4 con android 4.2.2 no era vulnerable lee las fuentes de la noticia el porque dicen el 99% y no el 100%.
      Mira que tan fácil es conseguir permisos de fabricante (grabar llamadar, reenviar sms) con una app tanto en ios como en android:
      spyonyourmobile(punto)com/es/?gclid=CLKDgqXnorgCFWIV7Aod_lwAvQ

      No es sino que parchen esta para que los fabricantes de aplicaciones encuentren otro hueco, es imposible una seguridad total en los teléfonos. las firmas siempre han sido uno de los puntos débiles, aun desde la época de nokia.

      • Bueno, todavía tengo mis serias dudas por que leí el código. Ahora solo falta esperar para que envíen el Pache. Solucionado el problema…

      • como escribi en otro comentario… porque hasta ahora empiezan la publicación del parche si el SIV salio hace ya bastante tiempo y viene libre del error!!! solamente estamos mirando la superficie del problema… esto me hace pensar.. si hay otro error… será que se quedaran callados hasta que alguien los delate!!!

        • Se demoraron 5 días, ellos no estaban ocultando sólo que no sabían del error, ningún software es perfecto, solo alguien que no entiende de esto puede pensar algo así.

          • Tocaría analizar que suena más conspiranoico, pretender que Google sabía del error durante muchos años pero malvada mente lo oculto aún con los problemas que luego serían parchear varias versiones de android.
            O que ocurrió como suele ocurrir en el software y y es que alguien encontró este exploit que fue parte de un descuido en programación.

          • Muchos a;os ???? UNO solo a;o!!! Y cuando se reporto nadie sabia si era posible que ocurriera!

      • Ahora…. no creo que el 4.2.2 sea solo el 1% si haces cuentas, eso solo teda los Android <1.6 (Es decir por debajo a 1.6). Hasta ahora nadie me ha demostrado que el parche estaba!! Por que para ello debes mostrar el código donde esta el parche o el historial de commits. En pocas palabras, solo con el código que fue parcheado después de este anuncio, no existe otro parche!

  • Les recuerdo que en iphone esto ya sucedió, es cuento viejo y miles de teléfonos usan aplicaciones no firmadas, se llama jailbreak.

    • Ne…. Jailbreak, es diferente es lograr instalar aplicaciones que no estén desde la tienda, en Android siempre se han podido instalar aplicaciones sin necesidad de la tienda. Ese es un problema un poquito mas grande

      • Con Jailbreak he logrado instalar varias aplicaciones sin la firma o con la firma modificada, hay varios tuts en Internet.Lo que si es cierto es que en android el problema viene de fabrica en iphone toca que el usuario modifique la instalación original, lo que no cambia es que la vulnerabilidad de instalar aplicaciones con firmas chimb@s es la misma.

          • Lo hago a mis familiares y amigos que piden el favor. El punto no es ese si no que las firmas están sobre valoradas como seguridad.

  • Les recuerdo que en iphone esto ya sucedió, es cuento viejo y miles de teléfonos usan aplicaciones no firmadas, se llama jailbreak.

    • Ne…. Jailbreak, es diferente es lograr instalar aplicaciones que no estén desde la tienda, en Android siempre se han podido instalar aplicaciones sin necesidad de la tienda. Ese es un problema un poquito mas grande

      • Con Jailbreak he logrado instalar varias aplicaciones sin la firma o con la firma modificada, hay varios tuts en Internet.Lo que si es cierto es que en android el problema viene de fabrica en iphone toca que el usuario modifique la instalación original, lo que no cambia es que la vulnerabilidad de instalar aplicaciones con firmas chimb@s es la misma.

          • Lo hago a mis familiares y amigos que piden el favor. El punto no es ese si no que las firmas están sobre valoradas como seguridad.

  • A ver, no hay que crear desinformación sobre esto… el sistema 4.2.2 ya tiene el parche que soluciona este problema incluido, ademas, los ultimos equipos como el s4 o el htc one, ya traian el parche que corrige este error por defecto en su rom stock…. Menos dramatismo!

    • y si sabían.. porque no se encargaron de distribuir el parche con mayor antelación… el SIV hace cuanto esta en el mercado.. y hasta ahora se sabe!!!

      • EL parche esta resuelto desde febrero y lo tendran todos los moviles que se actalicen a jellybean

  • A ver, no hay que crear desinformación sobre esto… el sistema 4.2.2 ya tiene el parche que soluciona este problema incluido, ademas, los ultimos equipos como el s4 o el htc one, ya traian el parche que corrige este error por defecto en su rom stock…. Menos dramatismo!

    • y si sabían.. porque no se encargaron de distribuir el parche con mayor antelación… el SIV hace cuanto esta en el mercado.. y hasta ahora se sabe!!!

      • EL parche esta resuelto desde febrero y lo tendran todos los moviles que se actalicen a jellybean

Archivos