14 septiembre 2012

Android, tus horas están contadas!

Sí, ya sé que suena alarmista, sensacionalista y que se acaba el mundo, pero por lo que me he podido enterar, va a ser un bombazo. No estoy hablando que Android vaya a morir porque el nuevo Iphone 5 (sin rimas por favor), presentado esta semana por Apple, va a ser un Android-Killer, sino por un fallo que tienen todos los Android que, por lo que me han contado, los deja como un bonito pisapapeles bastante caros.

Como sabéis los que nos seguís, la semana que viene se celebra en Buenos Aires una nueva edición del popular Congreso de Seguridad Ekoparty, en el que tendré el honor y placer de participar. Esta conferencia, aparte de estar considerada como la más importante de las que se celebran en toda Latinoamérica, se caracteriza por tener una altísima repercusión mediática mundial, por increíble puesta en escena, diferentes actividades y talleres, así como por hacer público en muchas de sus charlas, "hitos" que marcan un antes y un después en mundo de la seguridad. Lo mismo hay curiosas charlas de hacking de satélites, de lockpicking, o liberan un 0-Day sobre cómo romper el protocolo HTTPS, algo imprescindible en Internet,…

Bueno pues este año, gracias a la organización de Ekoparty, tenemos el placer de anunciar, en exclusiva en SbD, que habrá una charla en la que se publicará un mecanismo para dejar inservible cualquier terminal con Android.


Y es que he tenido la oportunidad de cruzarme unos correos con Ravishankar Broagaonkar (al que espero poder tratar de "Ravi" en Argentina) en los que me ha dado un poco de información sobre su investigación. Actualmente trabaja en el departamento de seguridad telecomunicaciones de TU Berlin y siempre ha dedicado a seguridad de telecomunicaciones.

Traduzco literalmente lo que me ha autorizado para hacer público en el blog sobre el bombazo que liberará en Ekoparty:

"Una grave vulnerabilidad en todos los dispositivos Android me permite desconectar usuarios móviles de comunicación por celular, de forma remota, causando una denegación de servicio permanente. Además, vectores de ataque improvisados impactarán la disponibilidad y la integridad de dispositivos móviles basados en Android".

Como anécdota curiosa, le pregunté cuántos móviles o dispositivos Android había dejado inservibles. Me contesta: "Incialmente rompí mis 4 dispositivos,… pero ya te contaré, tomando unas cervezas en Buenos Aires, la escabechina que monté en una tienda de electrónica en Berlín con esta vulnerabilidad :D"

Sólo os puedo decir que espero ansioso conocer a Ravi y al resto de los ponentes de la Ekoparty, porque tiene pinta que va a ser impresionante este año. Nos vemos en Argentina!

41 comments :

ghjtyu dijo...

Tenes que decir aguante Argentina cuando termina el texto, porque quieran o no somos mejores que el resto de america latina.

Lorenzo_Martinez dijo...

che! no te entendí qué corno querés decir :)

PacoRamirez dijo...

Con todo el respeto del mundo, creo que la subjetividad con la que ha sido redactada la noticia hace que su contenido sea poco o nada creíble. No obstante, veremos que pasa. En cualquier caso dudo que un sistema operativo con tantos millones de usuarios vaya a "descansar en paz" de la noche a la mañana.


Aunque sea off-topic, no estoy nada de acuerdo con la observación del iphone 5 como un android-killer. Más habiendo sido calificada su presentación como "decepcionante" por muchos medios.

Alex dijo...

Flojo, muy flojo el post de hoy, hubiese estado mejor una entrada después de la Ekoparty que supongo harás...esto al final es sólo alarmista sin más..en base a algo que te comentaron.. pero bueno no siempre podeis ser buenos ;)

L'Elite dijo...

Ok, mucha emoción y mucho entusiasmo. Existe una grave vulnerabilidad, me pregunto entonces, esta persona ya ha descubierto el problema y supongo ha de tener una solución, ¿es que la ha comunicado al equipo de desarrollo de Android? o por puro amor al arte liberará el "bombazo" para destruir millones de teléfonos que le han costado bastante dinero a muchos ¿con la sola finalidad de sentirse el rey de la colina?


Entiendo que el hacking es emocionante y tal, pero la diferencia entre un profesional apasionado por la seguridad y un idiota con conocimientos está en que el primero descubre destruyendo y enseña a los demás a protegerse para no resultar dañados, el segundo solo rompe las cosas porque le viene en gana y termina como un rechazado social y con suerte tras las rejas por conducta criminal.

Lorenzo_Martinez dijo...

Gracias, yo también te quiero :D
De todas formas, es un avance de lo que me han contado que va a explicar Ravi. Evidentemente, si todo es como debe (y el autor me lo permite), daré los detalles. Y si no es tal bombazo, y el impacto no es tan grande como me lo han vendido, me disculparé con todos los lectores.
¿Contento así?

Lorenzo_Martinez dijo...

Completamente de acuerdo contigo!
Es por eso, por lo que no publicaré ni un detalle (que aún no tengo) si no existe una solución. Creo en el "responsible disclosure"... :)

Lorenzo_Martinez dijo...

Si lees de nuevo el párrafo, verás que precisamente digo que el Iphone 5 NO va a ser el Android-killer,... sino que lo que los puede dejar inservibles remotamente es esta vulnerabilidad. Lo que desconozco totalmente es el alcance, si reinstalando el SO se arregla o si queda tostado completamente...

L'Elite dijo...

Esperemos que Ravishankar también crea en ello y no se aventure a dejar un arma de destrucción masiva en manos de script-kiddies que querrán ir destruyéndole el teléfono a cualquiera que les ponga mala cara..

Lorenzo_Martinez dijo...

Como dice el eslogan de la DGT, "No podemos conducir por tí". Es decir, que yo puedo responder por mis actos, no por los de Ravi...

txalin dijo...

Aqui andamos en lo de siempre. ¿Que pasa si google, que supongo que no actuará asi (no es Oracle), no hace caso a Ravishankar? ¿Lo dejamos correr hasta que los chinos o los ruskis encuentren el fallo y lo exploten masivamente sin decir ni mu?

PacoRamirez dijo...

Disculpa, entendí mal la afirmación. De todos modos, si con la vulenarbilidad tan grande que hubo en iOS con los pdfs, no paso nada reseñable, dudo que en este caso también pase.

PacoRamirez dijo...

Ups. Le di al reply que no era jeje.


Disculpa, entendí mal la afirmación. De todos modos, si con la vulenarbilidad tan grande que hubo en iOS con los pdfs, no paso nada reseñable, dudo que en este caso también pase

Juan Aguilera dijo...

Devuélveme el dinero que me ha costado leer tu entrada... Oh wait! :)

Lo que si es verdad, me imagino que a la tienda de Berlín le pagaría todos los dispositivos estropeados... O eso tendría que haber hecho.

Esperemos que si es de verdad sea responsable y antes comunique a google.

pof dijo...

La descripción en la web de la eko no parece tan alarmista, de hecho ni siquiera menciona a Android en ningún lado:


"Dirty use of USSD Codes in Cellular Network": http://www.ekoparty.org/2012/ravi-borgaonkar.php

Sherab Giovannini dijo...

Yo no creo que los deje inservibles, sinceramente. Hacer de un dispositivo Android un pisapapeles no es tan fácil como creéis.

tonio dijo...

Sinceramente los hacker no me dejan de sorprender. Día tras día me imagino empresas como M$, Apple, Google, Yahoo, con los mejores cerebritos trabajando, siguiendo metodologias de desarrollo, testeando productos, depurando, etc... se supone (o eso nos enseñaron en la facu) que luego de todo esto el producto final debe ser casi-perfecto.
Y de pronto, un solo individuo, un solo cerebro, coge un teléfono lo descuartiza mira sus tripas, sú código y booooooom!!! Fatal Error al canto :-S

Entonces me pregunto... que coño de pruebas hacen los testers??

No sé, cada día me siento menos seguro trabajando con las 'nuevas tecnologias' que si ataque MIM, que si ataque Man in the browser, que si se rompe el SSL, que si OpenSSH fue puetado, que si SHA1 es una mierda, que si app's e botón gordo para robar sesiones, que si cuidado con los metadatos ... joder!!! que nos queda para estar seguros??? :-S

Triton dijo...

Mi lógica me dice que quedará en nada. Para empezar porque si ese tal Ravi estuviera en lo cierto, ya se habría forrado ofreciendo la información a Google, en lugar de esperar al Ekoparty. Yo también opino que no es muy serio difundir "noticias" de esta forma. Es algo parecido a la prensa y tv rosa (o basura, o sensacionalista) cuando publican habladurías que perjudican a famosos en la forma "una fuente me ha comunicado..." o "no se quien ha dicho..." y luego hay que desmentirlo diciendo, "yo no había dicho nada, es mi fuente la que os ha engañado...". No creo que Android vaya a morir, es más, soy de los que opina que va para arriba y perdurará como un estándard en movilidad, y que conste que yo he tenido y sigo teniendo iphone, pero reconozco un trabajo bien hecho por parte de Google. Si no, ya lo veréis el 19...

Lorenzo_Martinez dijo...

Evidentemente que Android no va a morir... pero si no se parchea correctamente, un montón de terminales, si esta vulnerabilidad es tan letal como tengo entendido, sí que podrán quedar inutilizados. Te lo diré la semana que viene desde mi silla en "El Gran Debate" :D (tv rosa... lo que tiene uno que leer,...)

Lorenzo_Martinez dijo...

Lo que el mismo Ravi me ha dicho es que es permanente (desconozco si se puede reinstalar o si afecta a algo más grave internamente a nivel hardware...) pero te lo digo la semana que viene. Keep tunned!

Raúl Romero García dijo...

Yo sinceramente, diría que este tipejo se a fumado algo. A encontrado un fallo de seguridad que le permite remotamente formatear la memoria interna donde esta el sistema, más la memoria interna donde está el bootloader, más la memoria interna donde está el recovery mode y cada una de ellas son una memoria por separado?


Me suena a que se a fumado algo...

SiD dijo...

Después del Chernobyl quedó demostrado que hay cositas que pueden putear el hard de un sistema.

Creemos que las nuevas tecnologías son la polla con cebolla y desgraciadamente son eso... nuevas O:)

Anda que no quedan vectores de ataque por descubrir... o por "disclosurar"

yo dijo...

Me gusta la seriedad y el rigor del blog, NO.
Por lo menos no me quejo de que no se cuenten las cosas con emoción.

Lorenzo_Martinez dijo...

La semana que viene salimos de dudas, pero según describe el autor en la parte que puse traducida, los terminales con Android se "desconectan usuarios móviles de comunicación por celular", es decir, que se quedan sin telefonía en los dispositivos móviles :)

AnonGetUp dijo...

Quiere decir que es un niño pequeño con el cerebro lavado. Defended a la patria, somos los mejores, somos los mejores, viva,viva...... Pesados.

Acabo de comprarme un Android nuevo así que pobre de él que publique nada xD

Por cierto, recomiendas algun blog de desarrolladores web (php a ser posible no python)?

Triple R dijo...

Jeje, ahora la curiosidad me corroe

Torrita dijo...




Cuando lo tengas confirmado lo anuncias. Levantar rumores te
hace perder credibilidad y te coloca a la altura de los programas del corazón.

seseño dijo...

Increible pero cierto, pensaba que éste sito web era más serio....
cuanta chorrada, el espectáculo está servido ¡¡¡

McA dijo...

Esto me recuerda la charla que dieron los chicos de Taddong (José Picó y David Pérez) en la pasada rootedcon 2012.
http://vimeo.com/47191773
En ella denegaron el servicio de varios terminales, pero debido a la diversidad de dispositivos (incluso alguno con dual SIM) se demostro que el ataque no era aplicable a todos los terminales.Supongo que este ataque sera parecido pero permanente (en la charla se ponia todo bien con solo reiniciar el terminal).
Veremos en que queda.

Lorenzo_Martinez dijo...

Me parece estupendo... Cuando tenga confirmado los detalles del tema y se haya publicado en Ekoparty, haré un post explicando exactamente lo que vea. Creo que he dicho varias veces a lo largo del post "por lo que me han contado"... No obstante, si tengo que retractarme de algo de lo que he dicho, lo haré, cosa que creo que no hacen los programas del corazón ;)

Lorenzo_Martinez dijo...

No sería la primera vez que pasa algo así: http://www.securitybydefault.com/2009/01/silenciando-nokias-mensajes.html

Andriu dijo...

Vaya una mierda.....eso iros tos pa la manzana y ke os den xke no podeis hacer na a no ser ke sea pagando....ppff pringaos...ponca compatibilidad con los demas.....la manzana ke se kede en el arbol ke los demas estamos pisando en la tierra

Madrikeka dijo...

Dios mío...un post de discusiones y me lo he perdido...

Que peña con la presa rosa....con el trabajo que dáis en todos vuestros posts.. y son estas cosas las que hacen salir a la gente como borregos en masa a decir moñadas.

Pues nada...yo como soy vuestra grupi aquí sigo XD y esperaré ansiosa a la solución, que me ha dejado con un intríngulis.....

Y si luego no es tan bombazo....pues no pasa nada!! ya sacaréis otro bombazo u otros grandes post, como hacéis a diario, y la gente, por supuesto, no comentará!!
Pero yo si, que soy una pesá!

Es mi post post-vacacional...así que no os lo toméis muy en serio!!

Un saludo.

Triton dijo...

Bueno, ya me contarás cuántos Androids han muerto desde que el tal Ravi ha hecho público hoy en el Ekoparty ese gran fallo en su código que los hace a todos vulnerables.

Lorenzo_Martinez dijo...

Muchas gracias por tu apoyo incondicional Madrikeka!!

Lorenzo_Martinez dijo...

Pues siento decirte que habrá que esperarse hasta el viernes, que es cuando toca la charla de Ravi. Actualmente ya dispongo de bastantes más detalles, de primera mano, y "sólo" puedo decirte que, entre otras cosas, los terminales dejan de ser "smartphones" y pasan a ser "smart" únicamente... Se presentará más de una vulnerabilidad que, combinadas con varias técnicas diferentes, pueden desconectar unos cuantos teléfonos del mundo "telefónico" :)


Hasta ahí puedo leer... :)

PacoRamirez dijo...

Tras esperar más de una semana tanto yo, como otros muchos (según veo en los comentarios) seguimos a la espera del super hackeo de la vida para destruir android desde sus cimientos... Parece que ya no se habla de este tema?.... vendieron la piel del oso antes de casarlo?....

Lorenzo_Martinez dijo...

Ten paciencia... En breve sabrás algo más :)

Triton dijo...

¿Siguen vivos los Androids del mundo?

Dani dijo...

Anoche justo comentaba el tema con un amigo. En algunos medios "tradicionales" están publicando que el problema de Android que comentáis es el de los códigos USSD y nosotros nos creíamos más bien poco. Son dos problemas distintos, ¿verdad?

Lorenzo_Martinez dijo...

Hombre, una vulnerabilidad, que permite cepillarte de forma remota la SIM de miles de dispositivos de forma remota, y que en el caso de los Samsung, además dispone de un código de "reset to default settings" me parece "suficientemente grave" eh?


Efectivamente lo que adelantaba en el post, con la información que tenía, era que dejaría R.I.P. (es decir inusable como teléfono) el dispositivo. Si un smartphone sirve para llamar por teléfono y recibir SMS, como core, y tareas que requieren tarifa de datos para otros, para mí, inutilizar la SIM o incluso resetear el dispositivo, es dejarlo sin esas capacidades gracias a esta vulnerabilidad de ejecución de códigos USSD, que en algunos casos (Samsung) es remota y sin posibilidad de bloqueo.


Como entenderás, no podía desvelar muchos detalles (tampoco es que yo tuviera muchos más) sobre el tema, porque entonces se pierde la gracia de que la vulnerabilidad sea liberada en la Eko.


No obstante, han publicado ya herramientas y updates para parchear este fallo.