La privacidad del sistema operativo Android bajo la lupa

Hace poco se dio a conocer la noticia de que un grupo de investigadores de la Universidad de Edimburgo publicaron el resultado de un análisis realizado en los teléfonos inteligentes de las marcas Realme, Xiaomi y OnePlus suministrados a los mercados chino y mundial y en el cual detectaron que estos tenían algo en particular, «fugas de datos personales».

Se ha descubierto que todos los dispositivos con firmware a la venta en China envían información adicional a los servidores de recopilación de telemetría, como el número de teléfono del usuario, estadísticas de uso de la aplicación, así como datos de ubicación, IMSI (Número de suscriptor individual), ICCID (Número de serie de la tarjeta SIM ) y los puntos de acceso inalámbrico circundantes. Además, se ha informado que los dispositivos Realme y OnePlus transmiten el historial de llamadas y SMS.

China es actualmente el país con el mayor número de usuarios de teléfonos inteligentes con Android. Usamos una combinación de técnicas de análisis de código estática y dinámica para estudiar los datos transmitidos por las aplicaciones del sistema preinstaladas en los teléfonos inteligentes Android de tres de los vendedores más populares en China.

Encontramos que un número alarmante de las aplicaciones de proveedores y de terceros, del sistema preinstalado, tienen privilegios peligrosos.

Cabe mencionar que en el firmware para el mercado global, dicha actividad no se observa con algunas excepciones, por ejemplo, los dispositivos Realme envían MCC (código de país) y MNC (código de red móvil), y los dispositivos Xiaomi Redmi envían datos sobre Wi-Fi conectado, IMSI y estadísticas de uso.

Independientemente del tipo de firmware, todos los dispositivos envían un identificador IMEI, una lista de aplicaciones instaladas, la versión del sistema operativo y los parámetros de hardware. Los datos se envían mediante aplicaciones del sistema instaladas por el fabricante sin el consentimiento del usuario, sin notificación de envío e independientemente de la configuración de privacidad y la telemetría de envío.

A través del análisis de tráfico, encontramos que muchos de estos paquetes pueden transmitir a muchos dominios de terceros, información confidencial de privacidad, relacionados con el dispositivo del usuario (identificadores persistentes), geolocalización (GPS
coordenadas, identificadores relacionados con la red), perfil de usuario (número de teléfono, uso de la aplicación) y relaciones sociales (por ejemplo, historial de llamadas), sin consentimiento o incluso notificación.

Esto plantea una grave desanonimización y seguimiento, ademas de riesgos que se extienden fuera de China cuando el usuario se va
del país, y pide una aplicación más rigurosa de la legislación de privacidad de datos adoptada recientemente.

En un teléfono Redmi, los datos se envían al host tracking.miui.com cuando se abren y usan las aplicaciones preinstaladas del fabricante, como Configuración, Notas, Grabadora, Teléfono, Mensajes y Cámara, independientemente del consentimiento del usuario, para enviar datos de diagnóstico durante la configuración inicial. En los dispositivos Realme y OnePlus, los datos se envían a los hosts log.avlyun.com, aps.oversea.amap.com, aps.testing.amap.com o aps.amap.com.

El servidor de tunelización recibe conexiones del teléfono y las reenvía a los destinos previstos, se menciona que los investigadores implementaron un proxy intermediario para poder interceptar y descifrar el trafico HTTP/HTTPS.

Para aislar completamente las solicitudes iniciadas por un teléfono de Huawei en la Mensajería en la nube que sirve para monitorear la máquina virtual alojada (VM), se creo un túnel llamado que ejecuta el servidor proxy de tunelización. También ejecutaron mitmproxy 8.0.0 con permisos de superusuario en el puerto 8080 en la VM y se configuro iptables para redirijir cualquier conexión TCP del túnel a locahost:8080.

De esta manera, mitmproxy se comunica con el teléfono en nombre de las solicitudes de los puntos finales del servidor e inicia nuevas solicitudes a los puntos finales del servidor de destino haciéndose pasar por el teléfono, lo que permite que mitmproxy intercepte cada solicitud

De los problemas identificados, también se destaca la inclusión en la entrega de aplicaciones adicionales de terceros, a las que se les otorgan permisos extendidos por defecto. En total, en comparación con el código base de Android AOSP, cada firmware considerado viene con más de 30 aplicaciones de terceros preinstaladas por el fabricante.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/IVPQAw3
via IFTTT

El navegador Chrome se diferencia de Chromium en el uso de los logotipos de Google

Se dio a conocer el lanzamiento de la nueva versión del popular navegador web, Google Chrome 110, la cual llega cargada de un montón de cambios y nuevas características, de las cuales tal vez la más importante el soporte para la autenticación biométrica, entre otras cosas más.

Además de las innovaciones y la corrección de errores, se han corregido 15 vulnerabilidades en la nueva versión. Como parte del programa para pagar recompensas en efectivo por encontrar vulnerabilidades para la versión actual, Google pagó 10 premios por un monto de 26,5 mil dólares (un premio de $7000, $4000 y $1500, dos premios de $3000 y $1000, tres premios de $2000).

Principales novedades de Chrome 110

En Chrome 110 podremos encontrar que se implementó la capacidad opcional de usar autenticación biométrica antes de cada llenado automático de campos con contraseñas.

Otro de los cambios que se destaca, es que se actualizó la implementación del modo de operación headless, que permite ejecutar el navegador en sistemas sin un subsistema de monitor y gráficos, por ejemplo, en servidores. La nueva implementación se acerca más al modo normal de funcionamiento de Chrome y admite funciones tan avanzadas como la contabilidad de las políticas corporativas.

Ademas de ello, cuando la protección avanzada del navegador está habilitada (Navegación segura > Protección mejorada), se recopila telemetría sobre las cookies solicitadas por los complementos para detectar actividad maliciosa por parte de Google en los complementos y el acceso inapropiado a los identificadores transmitidos a través de las Cookies.

Simplificó el proceso de cambio de contraseña en caso de compromiso de la base de usuarios en el sitio actual. En la herramienta de verificación de contraseña, se ha ampliado la base de enlaces a los formularios para cambiar contraseñas de varios sitios (ahora puede pasar inmediatamente a cambiar la contraseña desde la notificación de compromiso del sitio).

Para aplicaciones web independientes, se implementa una página predeterminada, que se muestra en caso de problemas con el acceso a la red, si los desarrolladores de la aplicación web no proporcionaron la capacidad de trabajar sin conexión.

Además, la nueva versión en Android, Chrome 110 brinda sincronización de la lista blanca para los modos «Navegación segura mejorada» y «Mejorar la navegación» mediante el componente de entrega de actualizaciones periódicas, lo que aumentará la velocidad de carga de nuevas versiones de la lista blanca.

Tambien, se menciona que se suspendió el soporte para los sistemas operativos Windows 7/8/8.1 y se suspendió parcialmente el soporte para las ediciones Windows Server 2012 y 2012 R2, por lo que es posible generar actualizaciones con vulnerabilidades críticas hasta el 10 de octubre.

De los cambios para desarrolladores, se destaca que, se agregó el método remove() se ha agregado a FileSystemHandle API para eliminar archivos mediante el descriptor de archivo asociado con el archivo seleccionado por el usuario en el cuadro de diálogo showSaveFilePicker.

Se ha agregado el método AudioContext.setSinkId(), a través del cual puede seleccionar un dispositivo para la salida de sonido, por ejemplo, cuando el usuario necesita redirigir el sonido a un dispositivo externo conectado, ademas de que se bloqueó por completo la capacidad de usar la API de WebSQL, independientemente del contexto (anteriormente, el uso de WebSQL estaba prohibido solo en scripts no cargados desde el sitio actual).

De los demás cambios que se destacan:

• Se suspendió la compatibilidad con WebSQL porque la API no era compatible con otros navegadores, estaba vinculada a una API de biblioteca externa y aumentaba el riesgo de problemas de seguridad (los atacantes podrían usar WebSQL para explotar vulnerabilidades en SQLite).
• Se eliminó la API de administración de cuotas window.webkitStorageInfo, que quedó obsoleta desde 2013 y se reemplazó con la API StorageManager estandarizada.
• Se han realizado mejoras en las herramientas para desarrolladores web.
• El contenido del panel Rendimiento se borra cuando se hace clic en el botón de recarga de página.
• La grabadora tiene resaltado de código asociado con la etapa actual de ejecución, la capacidad de editar contenido sin interrumpir la grabación y la capacidad de grabar solo ciertos tipos de selectores.
• En la consola web, se han ampliado las posibilidades de autocompletado de entrada.
• En el panel Fuentes, de forma predeterminada, el formato visual del código JavaScript minificado está habilitado y se ha mejorado el resaltado de estructuras Vue, JSX, Dart, LESS, SCSS, SASS y CSS en línea.

¿Como instalar Google Chrome 110 en Linux?

Si estás interesado en poder instalar esta nueva versión de este navegador web y aún no lo tienes instalado, puedes visitar la siguiente publicación en donde te enseñamos a como poder instalarlo en algunas distribuciones de Linux.

El enlace es este. 

from Linux Adictos https://ift.tt/LQTdBF0
via IFTTT