Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
mayo
(Total:
105
)
- Google deja sin soporte el popular ChromeCast de p...
- Abogados usaron ChatGPT para demandar a una aerolí...
- Ya disponible para descargar: Kali Linux 2023.2
- Le robaron 200€ y acabó denunciado por compartir e...
- Las discográficas culpan a la Wikipedia de sus pér...
- Discos Duros WD para NAS Synology "caducan" a los ...
- Colapsan "The Internet Archive" por culpa del entr...
- Cómo usar Generative Fill, la inteligencia artific...
- Un abogado se enfrenta a sanciones por usar ChatGP...
- Elon Musk ya tiene autorización para probar implan...
- Un simple enlace de WhatsApp cuelga la aplicación ...
- El algoritmo de la activación de Windows XP ha sid...
- Predator, otro spyware mercenario
- Una app de Android grabó audio de sus usuarios en ...
- El malware QBot utiliza del EXE de WordPad en Wind...
- Cómo funciona el procesador de un PC
- El ataque "Hot Pixel" podría robar datos de chips ...
- Microsoft desvela un ataque informático chino a in...
- Microsoft presenta Windows 11 ‘Momentos 3’
- ¿Qué es NIS2 y cómo afecta a la Ciberseguridad en ...
- Videollamadas con la cara y la voz clonada de tu m...
- Podman Desktop 1.0, primera versión mayor de la he...
- Una explosión en el Pentágono creada por inteligen...
- Amouranth ya tiene un chatbot erótico y de pago ge...
- Windows 11 integra nuevo asistente de inteligencia...
- La Audiencia Nacional de España deja en libertad ...
- BugCheck2Linux: Ejecuta Linux después de una panta...
- España pretende prohibir el cifrado de extremo a e...
- Así revelan las apps de Android nuestros secretos ...
- WhatsApp ya permite editar mensajes enviados duran...
- Millones de televisores Android TV y teléfonos bar...
- China prohíbe la compra de los microchips de la es...
- Intel propone eliminar definitivamente los 32 y 16...
- Teléfonos Android son vulnerables a los ataques de...
- CVE-2023-27363: Prueba de concepto para ejecución ...
- Secure Boot, la característica de seguridad de UEFI
- PMFault, una vulnerabilidad que permite dañar físi...
- Meta recibe la mayor multa de la historia de la Un...
- Zero trust: la desconfianza por defecto como clave...
- Apple emite parches de emergencia para Safari (vul...
- Vulnerabilidad en Keepass permite obtener la contr...
- Twitter acusa a Microsoft de usar sus datos de man...
- Microsoft tardará casi un año en terminar de parch...
- El CEO de ChatGPT dice en el Senado de EE.UU que «...
- Los peligros de los nuevos dominios .zip registrad...
- WARP, la VPN gratuita de CloudFlare
- Actualización de seguridad 6.2.1 para WordPress
- Mojo, el nuevo lenguaje de programación creado por...
- En 15 minutos un iPhone podrá hablar con tu voz
- La IA la vuelve a liar: las imágenes de la Ministr...
- Microsoft está escaneando archivos ZIP protegidos ...
- Google eliminará las cuentas que lleven dos años i...
- EE.UU. ofrece una recompensa de 10 millones por la...
- WhatsApp introduce el bloqueo de Chats con contras...
- Euskaltel víctima de un hackeo con robo de 3TB dat...
- LTESniffer, una herramienta open source para inter...
- Alternativas RaspBerry Pi: Orange Pi 5 Plus y Bana...
- Youtuber confiesa que estrelló su avioneta para co...
- Directivo empresa unidades flash pronostica el fin...
- Elon Musk elige a Linda Yaccarino, exdirectora de ...
- Alternativas gratuitas a Photoshop
- El código fuente filtrado de Babuk permite crear n...
- Toyota expone los datos de localización de 2 millo...
- Maltego, la herramienta para recopilar información...
- Cuidado con falsa pantalla de actualizaciones de W...
- El Ayuntamiento de Madrid alertó de multas falsas ...
- uBlock Origin, el complemento más popular del nave...
- YouTube no permite ver vídeos a los usuarios que u...
- Cómo solucionar problemas y recuperar con el Inici...
- Google realiza en su buscador el mayor cambio de t...
- WhatsApp activa el micrófono sin tu permiso por cu...
- Detenidos en España miembros de los Trinitarios ac...
- PlugWalkJoe: el ermitaño que hackeó Twitter se enf...
- Así se las ingenia este usuario para conseguir pen...
- Multan con 200 mil € al Mobile World Congress de B...
- Golpe histórico del FBI a ciberdelincuentes rusos:...
- El FBI incauta 13 dominios utilizados para vender ...
- La Policía española investiga si Alcasec y su soci...
- Disponible distro Parrot OS 5.3 con Linux 6.1 y MA...
- La polícia de San Bernardino (California) paga el ...
- Amazon se llena de reseñas falsas generadas con Ch...
- Rusia usó WinRAR para borrar ficheros a Ucrania en...
- El padre de Elon Musk confirma la existencia de su...
- Detenido por pedir un préstamo suplantando la iden...
- Discord te obligará a cambiar tu nombre de usuario
- QR, bluetooth y criptografía: esta es la idea de G...
- Ataques de DLL sideloading o Hijacking
- Google anuncia el Pixel Fold, su primer móvil pleg...
- Día mundial de las contraseñas
- Resultados financieros de Apple: récord ingresos i...
- Apple estrena los parches de respuesta de segurida...
- Gmail activa los emails verificados con una insign...
- Google dice que solo el 11% entienden el significa...
- FaulTPM es una vulnerabilidad que afecta a los pro...
- La Generalitat Cataluña quiere grabar hasta lo que...
- Apple y Google trabajan para evitar la localizació...
- Herramientas para detectar typosquatting
- Las cuentas de Google admiten claves de acceso y y...
- ProtonPass, el nuevo gestor de contraseñas con cif...
- El 'padrino' de la IA deja Google y avisa de los p...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Así revelan las apps de Android nuestros secretos sin que lo sepamos
Una nueva investigación ha descubierto que por ese agujero se sigue escapando información privada de los usuarios de Android, a la que tienen acceso más empresas de las que deberían.
- Una nueva investigación descubre cómo empresas de publicidad tienen acceso a registros de datos que dejan los programadores en las entrañas de los móviles
“Esta investigación descubre un agujero muy importante, que no está bien regulado ni estudiado”, dice Carmela Troncoso, investigadora de la Escuela Politécnica Federal de Lausana (Suiza) que lideró un grupo europeo encargado de la creación de las aplicaciones de rastreo en 2020. “Pero es un problema general, en las apps de rastreo y en todo. La conclusión es que no puedes hacer algo privado por diseño en una plataforma como Android, que es defectuosa por definición”.
Los logs son un largo y exhaustivo diario que recopila lo que ocurre en una app. Su uso original y aceptado es detectar bugs (errores en el código) antes de lanzar las apps al público. Pero, en realidad, no es eso lo único que ocurre. Google pide a los desarrolladores de apps que retiren los logs una vez que las aplicaciones están publicadas, porque pueden contener información sensible. Y la reciente investigación demuestra que siguen ahí, y que en ellos puede encontrarse de todo.
“Encontramos que los logs no tienen información puramente técnica, sino que por descuido o de forma intencionada también pueden contener datos personales o información que revela la actividad del usuario”, dice Juan Tapiador, catedrático de la Universidad Carlos III y uno de los autores del artículo. “Un ejemplo es el caso de Microsoft Teams o Discord, o las apps farmacéuticas CVS y Drug Mart, que tienen unas actividades que dan mucha información. En el caso de Teams es posible saber, por ejemplo, el momento exacto en que has realizado una llamada. En el caso de CVS y Drug Mart se almacenan, entre otros datos, las categorías de productos que se usan para filtrar los resultados de búsqueda”. Así queda registrado el tipo de producto farmacéutico que alguien busca, desde anticonceptivos a pastillas para el colesterol.
El permiso para acceder a esa extensa información privada personal en Android está limitado a Google, a los fabricantes de los dispositivos y a las apps preinstaladas que esos fabricantes han querido colocar ahí. Entre ellas, hay empresas que se dedican a la publicidad. El botín al que tienen acceso en las tripas de los móviles Android es difícil de calcular. Por ahí corren todas las apps, y puede haber desde nuestra localización a nuestros intereses o nuestras relaciones amorosas.
Android se basa en un proyecto de código abierto mantenido por Google. Pero no es un ecosistema cerrado como el de los iPhone de Apple. “Cualquier fabricante de teléfonos puede introducir cambios en el sistema operativo y apps de otras organizaciones con las que tenga acuerdos comerciales, incluso apps de empresas que forman parte de la industria basada en la comercialización de datos personales y publicidad”, dice Narseo Vallina-Rodríguez, investigador de Imdea Networks y cofundador de AppCensus, dedicada al análisis de la privacidad en las aplicaciones móviles. “El gran problema es que esas apps preinstaladas son parte del sistema operativo y pueden acceder de forma privilegiada a datos y recursos sensibles a los que una app normal no puede acceder, como es el caso de los logs del sistema desde la versión Android 4.1″.
Es un equilibrio complejo en un panorama caótico. Los dispositivos Android viven en un entorno similar a una jungla, donde docenas de empresas tratan de extirpar datos y beneficios sin el conocimiento del usuario. “Los riesgos de seguridad y privacidad derivados de la cadena de suministro son complejos de resolver. En la fabricación de un producto y de todo el software que incluye intervienen muchas partes, a veces con relaciones complejas entre sí, y donde los riesgos de una entidad pueden ser heredados fácilmente por otras”, dice Juan Tapiador.
Una portavoz de Google respondió que intentan hacerlo todo a la vez: proteger al usuario y dar más posibilidades a los desarrolladores de las apps. “La seguridad y privacidad del usuario es una prioridad principal para Android. Apreciamos mucho la investigación de la comunidad que ayuda a que Android sea seguro. Realizamos mejoras constantes en las funciones de Android para garantizar que los datos de los usuarios estén seguros y sean privados, al mismo tiempo que permitimos a los desarrolladores crear las mejores aplicaciones posibles”, dice la portavoz.
Google admite que todas las aplicaciones que tienen acceso a los registros del dispositivo son aplicaciones autorizadas por los fabricantes de dispositivos, con lo que traslada parte de la responsabilidad de las intromisiones que puedan surgir a otros actores.
“Me sorprendió genuinamente el nivel de datos confidenciales registrados por los fabricantes de dispositivos de hardware”, dice Serge Egelman, investigador de la Universidad de California, en Berkeley (EE UU) y también cofundador de AppCensus. “Si estos dispositivos están siendo certificados por Google como dispositivos Android oficiales, realmente debe haber cierta supervisión de que están siguiendo las políticas de Google y las mejores prácticas básicas”.
Pero nadie vigila ni asegura que esa información no esté ahí o no sea accesible a actores que puedan potencialmente hacer un mal uso de la información privada de usuarios. Bart Preneel, catedrático de la Universidad Católica de Lovaina y director técnico de la app belga de rastreo digital Coronalert, describe el problema en tres puntos: “Uno, se facilita a los desarrolladores el registro de mucha información, y la mayoría contiene datos confidenciales, en particular si se combinan los registros de varias aplicaciones. Dos, esta información es útil para Google y para los fabricantes. Pero muchas otras aplicaciones autorizadas por ellos también tienen acceso, así que el riesgo de abuso es muy alto: permite la creación de perfiles de usuario por parte de un gran número de partes. Y tres, Google advierte a los desarrolladores que no registren demasiado, pero los desarrolladores hacen esto de todos modos, y no se vigila”, dice Preneel.
En este caso la información que aparece en los logs no debería en realidad estar ahí. Hace años que los consejos de Android tratan de evitar incluir actividad privada en esos registros. Pero ni se controla ni se vigila y para los desarrolladores de aplicaciones y fabricantes el problema no es directamente suyo. Es un ejemplo claro de que la peor parte se la lleva el usuario, que no sabe nada de lo que ocurre. Es software que ya está ahí cuando le llega a las manos, dentro de su móvil.
Tras tener conocimiento de la investigación, Google ha introducido una advertencia para los usuarios en la versión 13 de Android: “Los mecanismos que ha introducido Google en Android 13 para mejorar la transparencia e informar a usuarios sobre el acceso a los logs por apps preinstaladas son un buen paso”, dice Vallina-Rodríguez. “Permitirán que los usuarios puedan controlar cuando y quién puede acceder a esta información. No obstante, la mejora del sistema de permisos solo mitiga este problema concreto, y no puede abordar los problemas generales asociados con la falta de control sobre la cadena de suministro de los productos digitales”, añade. Es un remedio insuficiente, añade Preenel: “Es solo un parche, la mayoría de usuarios no tienen ni el tiempo ni las ganas de controlar este tipo de configuraciones”.
Google no tiene obviamente toda la responsabilidad aquí. Los desarrolladores de apps deberían ser más cuidadosos con la información que permiten que aparezca en los logs y saber que no son los únicos que tienen acceso a esa información: “Los creadores de aplicaciones podrían registrar menos datos”, sugiere Joel Reardon, investigador de la Universidad de Calgary y cofundador de AppCensus. “Muchas apps usan servicios como Crashlytics para recopilar registros de errores, lo que les permite depurar con la app ya desplegada. Antes, los usuarios de ese tipo de software se llamaban probadores beta y la participación era voluntaria. Si los creadores de aplicaciones no tienen la intención de mirar los registros, hay muchas menos razones para registrar tantos datos como hemos encontrado”.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.