tag:blogger.com,1999:blog-5399811056563385935.post7417623663564799780..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: La mentira de los "puntitos" en AndroidYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger13125tag:blogger.com,1999:blog-5399811056563385935.post-22752719918172507522014-07-30T11:51:37.857+02:002014-07-30T11:51:37.857+02:00Tiene huevos que necesite esto ahora y no funcione...Tiene huevos que necesite esto ahora y no funcione en mi terminal. Instalo tu app lleno de malware y viruses, pero al acceder a las casillas de texto con punticos, no aparece la contraseña. TONGO! :Dchenchonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-9813917798491295292013-04-19T13:08:56.820+02:002013-04-19T13:08:56.820+02:00Os respondo a los últimos comentarios a la vez, qu...Os respondo a los últimos comentarios a la vez, que van todos por el mismo camino.<br /><br />El problema no es el acceso a la casilla de texto cuando la estamos introduciendo, SI NO A LAS YA ALMACENADAS.<br /><br />Si tú guardas la configuración de una VPN en tu teléfono Android, no se debería poder acceder a las credenciales POSTERIORMENTE de ninguna manera, ahí el problema.<br /><br />Si tu pierdes tu teléfono por ejemplo, yo con este "método" podría obtener el usuario/contraseña de acceso a la VPN de, por ejemplo, tu oficina. Algo que creo que en ningún caso debería ser posible.<br /><br />Si teneis alguna duda más, para eso estoy ;)<br /><br />¡ Un saludo !Borja Berasteguinoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-4953326202609255542013-04-18T02:10:06.831+02:002013-04-18T02:10:06.831+02:00El problema es la via de conexion, es decir via Wi...El problema es la via de conexion, es decir via WiFidudunoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-36575917162753381772013-04-18T02:08:59.440+02:002013-04-18T02:08:59.440+02:00En iph0ne tambien se guardan en plano, era de espe...En iph0ne tambien se guardan en plano, era de esperar que en Android tambien! Buen post!dudunoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-26391818724873320422013-04-18T00:00:59.778+02:002013-04-18T00:00:59.778+02:00¿Pero es que estamos tontos? ¿Cómo pretendes progr...¿Pero es que estamos tontos? ¿Cómo pretendes programar un IME sin acceso a la maldita casilla de texto?<br /><br />¿Y cómo pretendes que un programa cifre contraseñas recordadas de redes wifi AJENAS AL DISPOSITIVO? ¿Hardcodeando el password de cifrado? Ah no, que eso es el cáncer de la seguridad, entonces algún listillo sacaría un programa para descifrar eso y Android sería el peor SO de la historia de la humanidad.Reapernoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-79227568840241776342013-04-17T19:07:20.829+02:002013-04-17T19:07:20.829+02:00Estoy convencido que en tu andadura has aprendido ...Estoy convencido que en tu andadura has aprendido mucho, que es lo importante. Y me alegro.<br /><br /><br />Sin embargo, y perdona que lo diga, no me parece una cosa alarmante. El artículo expone que desde un IME se podría acceder a la contraseña en plano. Claro, ¿cómo si no se podría editar ese campo de texto? Un problema sería si sí se pudiera mostrar la contraseña como en las redes wifi con un simple checkbox.<br /><br /><br />Luego lo que haces es demostrarlo tomando el control del teclado... ¡implementando tu propio teclado! Es que sigo sin ver el riesgo/fallo en todo esto.<br /><br /><br />Un saludo!!Sergionoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-23439735994256775622013-04-17T11:48:32.561+02:002013-04-17T11:48:32.561+02:00Parece lógico que un IME de teclado pueda acceder ...Parece lógico que un IME de teclado pueda acceder a lo que estás tecleando. Por eso, cuando lo habilitas te sale un mensaje de confirmación, que te avisa de que ese teclado podrá ver todo lo que teclees, y si es malicioso estás básicamente j*****.Javiernoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-43511089844560633522013-04-17T11:16:32.784+02:002013-04-17T11:16:32.784+02:00Uy; rootear el móvil. Eso yo no vuelvo a hacerlo.
...Uy; rootear el móvil. Eso yo no vuelvo a hacerlo.<br />Ya me imagino q hay muchas cosas q no van cifradas (aunque deberían). Pero no está de más saberlo.<br />(veo q ya sale la foto cambiada; esto del g+ no hay quién lo entienda)María Garcíanoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-11454590419471916792013-04-17T10:30:43.056+02:002013-04-17T10:30:43.056+02:00Bueno, pero ya sabemos como es el "deberían&q...Bueno, pero ya sabemos como es el "deberían" en estas cosas :P<br /><br />Y desde luego, basado en la premisa de "nadie está tan chalado"... Uy, eso si que no, la gente hace cosas mucho peores.<br /><br />De todas formas, es una manera de recordarle a la gente que no debería hacer caso omiso de las recomendaciones como guardar el user/pass en el dispositivo, por ejemplo; por lo que he puesto en el post.Borja Berasteguinoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-13337661383963089992013-04-17T10:26:27.774+02:002013-04-17T10:26:27.774+02:00Perdón por no poner la aclaración de que para leer...Perdón por no poner la aclaración de que para leer los datos de las Wifi almacenadas hay que tener el teléfono rooteado :S<br /><br />Pero bueno, iba al hecho de que no están cifradas ;)Borja Berasteguinoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-8616374465830538362013-04-17T09:22:46.395+02:002013-04-17T09:22:46.395+02:00Pero bueno, los tunnelgroups , históricamente al m...Pero bueno, los tunnelgroups , históricamente al menos en cisco , han sido facilmente reverseables ¿no?, nadie está tan chalado como para poner su user y pass en el dispositivo.<br />Y ademas las VPN molonas usan OTP para el user ¿no? y si no es así deberían.Pajaro121noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-59930780341259564122013-04-17T08:53:22.765+02:002013-04-17T08:53:22.765+02:00En mi terminal el /data está protegido (no lo teng...En mi terminal el /data está protegido (no lo tengo rooteado)María Garcíanoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-17732667268359346602013-04-17T08:43:57.983+02:002013-04-17T08:43:57.983+02:00Está muy bien el artículo. Ahora mismo voy a proba...Está muy bien el artículo. Ahora mismo voy a probarlo. Pero mi teclado es uno ramplón y no encuentro la F4.<br />(No sé por qué sigue saliendo mi foto en el g+ de las narices si ya la he quitado)María Garcíanoreply@blogger.com