Malas noticias para los que utilizamos Android, esta siendo espiado.

Malas noticias para los que utilizamos Android, esta siendo espiado.

Malas noticias para los usuarios de Android. Es decir, para la mayoría de los usuarios de un «smartphone». Y es que una investigación dirigida por científicos españoles ha revelado que los móviles Android, el sistema operativo de Google, monitorizan al usuario sin que él lo sepa y acceden a sus datos personales de forma masiva a través de un gran número de aplicaciones preinstaladas que apenas pueden retirarse del terminal.

Da igual la marca. No hablamos de que uses Huawei, Samsung, Xiaomi o LG. Este estudio afecta al sistema operativo en sí y, en este caso, se ven afectados la mayoría de los mortales porque Android es el software de mayor penetración en el mercado. Solamente en España, finalizó el 2018 estando presente en el 89,9% de los terminales, mientras que Apple, con su sistema operativo iOS, se queda en el 9,9%, según los últimos datos de Kantar Worldpanel Comtech.

Pero los datos del sistema operativo de Google van más allá. Según Kantar, tres de cada cuatro «smartphones» vendidos en los principales mercados europeos (Reino Unido, España, Francia, Italia y Alemania) son Android. Así, no es de extrañar que haya conquistado al 75,8% de los usuarios europeos (solo el 23,5% de los móviles vendido en Europa a finalizar el 2018 fueron iPhone). Sólo en Estados Unidos es donde Android no firma una victoria aplastante: la cuota de Apple, a fin de 2018, se situó en el 43,7%, mientras que la cuota de mercado de Android alcanzó el 56%.

Por tanto, la mayoría de los «smartphones» en el mundo funcionan con Android, aunque cada fabricante le añada su capa de personalización. Esto se traduce en quela mayoría de los usuarios, nada más encender su nuevo «smartphone», son espiados sin problema alguno.

Las conclusiones de la investigación realizada por el Instituto IMDEA Networks con sede en Leganés y la Universidad Carlos III de Madrid se recogen en el artículo « An Analysis of Pre-installed Android Software», que difunde este lunes la Agencia Española de Protección de Datos (AEPD) debido al «impacto masivo» de sus resultados sobre la privacidad y la protección de los datos personales de los ciudadanos, explica la entidad en una nota.

De hecho, la AEPD presentará este estudio y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la entidad junto a otras autoridades europeas de protección de datos y el supervisor europeo.

Acceso a información personal

La investigación abarca más de 82.000 aplicaciones preinstaladas en más de 1.700 dispositivos Android fabricados por 214 marcas. De esta manera, los investigadores han conseguido identificar los agentes presentes en el software preinstalado en Android y que utilizan el acceso privilegiado a recursos del sistema para la obtención de datos personales de usuarios. Pero el «espionaje» no se queda ahí. La investigación revela acuerdos comerciales entre vendedores de dispositivos Android y terceros, incluyendo organizaciones especializadas en la monitorización y rastreo de usuarios y en proporcionar publicidad en Internet.

Una de las principales conclusiones del estudio es que el modelo de permisos del sistema operativo Android y de sus aplicaciones, que no tiene nada que ver con los requisitos que exige la compañía para que los desarrolladores suban sus «apps» a la Play Store, es que permite que un gran número de actores puedan monitorizar y obtener información personal de los usuarios a nivel del sistema operativo.

Al mismo tiempo que es espiado, el usuario desconoce por completo que haya ciertos actores en su terminal que se dedican a recabar su información personal. La AEPD insiste en las implicaciones que dichas prácticas tienen sobre su privacidad. Además, la presencia de este software con privilegios de sistema hace que el usuario no pueda eliminarlos fácilmente.

Oscuros acuerdos comerciales

Y es que los investigadores han identificado más de 4.845 permisos propietarios o personalizados durante la fabricación de los terminales. Este tipo de permisos permite que las «apps» de la Google Play eludan el modelo de permisos de Android para acceder a datos del usuario sin requerir su consentimiento al instalar una nueva «app». Es decir, cuando un usuario quiere descargarse cualquier aplicación en su terminal, acude a la tienda oficial para ello y, al descargársela, siempre pide permiso para que esa «app» se instale o ejecute. Esto no ocurre con las «apps» analizadas en el estudio. El usuario, por tanto, no tiene el control sobre su terminal.

Pero ahí no queda todo. En cuanto a las «apps» preinstaladas en los dispositivos, se han identificado más de 1.200 compañías, así como la presencia de más de 11.000 librerías de terceros (SDKs) incluidas en la mismas, la mayoría están relacionadas con servicios de publicidad y monitorización online con fines comerciales. Estas «apps» preinstaladas se ejecutan con permisos privilegiados y sin posibilidad, en la mayoría de los casos, de ser desinstaladas del sistema.

Un análisis exhaustivo del comportamiento del 50% de las «apps» identificadas revela que una fracción importante de las mismas presenta comportamientos potencialmente maliciosos o no deseados, como muestras de malware, troyanos genéricos o software preinstalado que facilitaría prácticas fraudulentas.

En relación con la información ofrecida al iniciar un nuevo terminal, se pone de manifiesto un déficit de transparencia de las «apps» y del propio sistema operativo Android al mostrar al usuario una relación de permisos distinta de la real, limitando su capacidad de decisión para gestionar su información personal.

Las claves de Android

Sobre el sistema operativo de Google trabajan los fabricantes de «smartphones» porque se trata de una versión abierta («open source») sobre la que cada marca y operador en la industria de telecomunicaciones adapta a sus terminales con dos objetivos: mejorar las prestaciones de sus productos y añadir funcionalidades específicas que proporcionen un valor añadido a sus móviles y así diferenciarlos en el mercado.

Tal y como explican los autores del estudio, los fabricantes distribuyen sus propiasversiones modificadas de Android en las que también incluyen software (aplicaciones) desarrollados por ellos mismos o por terceros (operadores móviles, redes sociales o servicios de publicidad). «Estas son las conocidas aplicaciones preinstaladas sobre las que el usuario medio no tiene los conocimientos para desinstalar o eliminar del dispositivo ni tampoco es posible verificar técnicamente la aplicación de los principios de protección de datos por defecto y desde el diseño», alertan.

Por tanto, los investigadores consideran que se pone de manifiesto la falta de trasparencia en el proceso por el que una aplicación está preinstalada en un dispositivo específico Android, ya que el usuario desconoce totalmente que esta situación se dé, así como la intromisión contra la privacidad que ejecuta.

La ausencia de un análisis académico y sistemático sobre los riesgos del software preinstalado en dispositivos Android ha motivado la ejecución de este estudio que viene a sentar las bases para la mejora de la calidad de estos productos y servicios que finalmente redundará en la confianza del usuario final», explican los investigadores.

Te recuerdo que se creo un curso de “HACKING CON ANDROID” Checalo! tiene descuento en este momento!

Curso de Hacking con Android – Proximamente –

Curso de Hacking con Android – Proximamente –

Te explicare lo que podrás ver en nuestro curso:

El curso esta basado en la metodología OWASP para realizar Pentesting en aplicaciones móviles, lo cual quitando ciertos cursos como Offensive Security, no he visto cursos de este tipo, he visto cursos de descargar la apk y hackear sin entender la herramienta al 100% en todo el mundo, y en nuestro curso se verán 2 tipos de pruebas.

Pruebas estáticas

Arquitectura y diseño / Almacenamiento de datos / Cifrados / Reversing Engineering / Pruebas de infra / etc

Pruebas dinámicas

Autentificación y manejo de sesión / Comunicación con APIS / Instrumentación de código dinámico / Intercepción de trafico / Prueba de flujos /etc..

Si podéis ver todo basado en la metodología de OWASP, no sacado de foros o de la nada.

Aparte cabe destacar que nuestros profesores han trabajado en empresas multinacionales y han realizado bastante Pentesting a diferentes aplicaciones móviles al igual que son Bug Hunter y encuentran vulnerabilidades en aplicaciones móviles y las reportan en varios Bug Bountys.

No confundas cursos de dar click a una apk y hacker el mundo, con nuestro curso siguiendo metodologías y apegados a servicios profesionales.

-Desde mi perspectiva, yo no he visto ningún curso de este tipo-

Hacking desde Android [Parte 3]

Hacking desde Android [Parte 3]

WPS Connect


Esta aplicación nos permite conectarnos a una red wifi con el protocolo WPS activado. Para ello, comprueba si el router tiene el PIN por defecto, si es así, se conecta (desconectar el móvil/tablet de cualquier red wifi antes de usar la aplicación).

Su funcionamiento es muy sencillo, en la pantalla principal basta con pulsar el botón de las flechas (esquina superior derecha) para que empiece a escanear las redes wifi que tenemos al alcance.

Una vez tengamos la lista de redes, pulsamos en cualquiera de ellas para intentar conectarnos, nos aparecerá una ventana con la lista de PINs para probar (también podemos escribir uno nosotros mismos).

Con suerte alguno de ellos funcionará y nos conectaremos a la red, nos aparecerá un mensaje de éxito junto con los datos wifi: pin, nombre y password.

IP-TOOLS: Network Utilities

Suite muy completa para el análisis de redes. Dispone de una gran lista de herramientas:

  • Ping
  • Escaner LAN
  • Busqueda DNS
  • Escáner de puertos
  • Whois
  • Configuración del router desde el móvil
  • Traceroute
  • Registro de conexiones
  • Calculadora IP
  • Convertidor IP & Host
  • etc….

Con esta suite no habrá IP/host o red que se resista.

Te veo en los sueños....
Hacking desde Android [Parte 2]

Hacking desde Android [Parte 2]

JUICESSH

Se trata de un cliente todo en uno, soporta SSH, Shell Local, Mosh y Telnet. Ofrece muchas opciones para hacernos la vida mas fácil:

  • Terminal a color.
  • Popup de teclado con teclas especiales.
  • Soporta teclado externo.
  • Plugins de la comunidad para añadir nuevas funcionalidades.
  • Copiar y Pegar
  • Organizar las conexiones por grupos.
  • Y un largo etc…

Puede descargarse en Google Play.

En el menú principal tenemos varias opciones, destacar el de conexión rápida (rayo en la esquina superior derecha) que nos permite realizar una conexión sin tener que crearla y guardar anteriormente.

Y los Plugins que nos muestra los plugins disponibles de la comunidad, además de poder crear los nuestros propios mediante el SDK de desarrollo de plugins.

La forma de uso es muy sencilla, en la pantalla principal pulsamos en Conexiones y el botón “+” de la esquina inferior derecha.

Nos aparecerá esta pantalla con los ajustes de la nueva conexión.

Alias: nombre para identificar la conexión.

Tipo: el tipo de conexión SSH, Mosh, Dispositivo local o Telnet.

Dirección: IP a la que vamos a conectarnos.

Identidad: aquí tenemos que crear una nueva identidad con el nombre de usuario y contraseña del servicio al que vamos a conectarnos. También ofrece la posibilidad de generar un snippet que añade una clave pública al archivo “/.ssh/authorized_keys”.

Puerto: puerto del servicio al que vamos a conectarnos.

Con todo configurado pulsamos el stick de la esquina superior derecha para guardar la conexión.Abrimos la conexión creada y obtendremos una shell.
Hacking desde Android [Parte 1]

Hacking desde Android [Parte 1]

Estoy creando un curso de Hacking desde Android, te gustaría? Hazme saber!

¡Una probadita!

DISTRO LINUX

Ya es posible tener una distribución Linux en nuestros dispositivos Android y así tenerla a mano siempre que lo necesitemos. Para ello es necesario ser superusuario o rootear el dispositivo. Existen muchas formas y programas con los que realizar este paso de una forma fácil, basta con poner en Google la marca y modelo de nuestro móvil/tablet y la palabra “root”.

Una vez somos superuser, instalaremos las  siguientes aplicaciones:

  • Linux Deploy: con ésta aplicación descargamos, instalamos y corremos la distribución Linux que mas nos guste.
  • VNC Viewer: mediante ésta nos conectaremos a Linux Deploy para asi poder ver y controlar la distribución.
  • BusyBox: con esta aplicación instalaremos en nuestro dispositivo móvil la mayoría de las utilidades propias de los sistemas Linux.

En primer lugar ejecutamos BusyBox y pulsamos install.

Luego abriremos Linux Deploy y nos encontraremos con esta pantalla. (en la configuración de la aplicación podemos cambiar el idioma a español).

Pulsamos en el botón marcado y nos aparecerán las opciones de instalacion.

  • Distribution: elegimos la distro Linux que mas nos guste, en mi caso he elegido Kali Linux.
  • Distribution suite: elegimos la versión de la distro elegida anteriormente.
  • Architecture: aquí tenemos que indicar la arquitectura que corresponda a nuestro dispositivo móvil.
  • Installation path: debemos indicar la ruta donde guardaremos los archivos de instalación de la distro. Tener en cuenta que necesitamos tener varios gigas de espacio libre (en el caso de Kali ocupa unos 4Gb). Podemos elegir tanto la memoria interna como externa de nuestro dispositivo.
  • User name: indicaremos el nombre de usuario que luego usaremos para conectarnos a la máquina.
  • User password: contraseña del usuario.
  • Desktop environment: entorno de escritorio para la distro.
  • Select components: en esta opción elegimos algunos de los programas que queramos incluir en la distro.

Una parte importante es la opción GUI settings, en esta parte tenemos que configurar la resolución de nuestro dispositivo y que utilizará la distro.

  • Depth (bits): indicamos la profundidad en bits de la pantalla del dispositivo.
  • DPI: puntos por pulgada de la pantalla.
  • Width y Height: es estas opciones, indicaremos la anchura y altura de la pantalla respectivamente. Les recomiendo que pongan los datos al revés, es decir, introducir la anchura en la altura y viceversa, de esta forma no tendrán problemas.

Dispone de más opciones para configurar, pero esas las dejo a gusto del consumidor. Con todo configurado, pulsamos en botón Install para que comience la descarga he instalación de la distribución (este proceso puede tardar bastante).

NOTA: además de Linux Deploy, existe otra aplicación, Complete Linux Installer, que también nos permite instalar distribuciones Linux en Android. En caso de que la anterior nos diera problemas, pueden utilizar ésta otra.

Una vez se haya terminado de instalar, pulsamos el botón Start para arrancar la distro. Sin cerrar completamente Linux Deploy (pulsamos el botón Home de nuestro móvil), abrimos la aplicación VNC Viewer y crearemos una nueva conexión.

Pulsamos el botón “+” y nos aparece la siguiente pantalla. Escribimos localhost en Address, el nombre que quieran para identificarlo y pulsamos Create. Por último nos conectamos y ya tendremos Kali Linux en nuestro dispositivo Android.

¿Quieres más?
Sera en el siguiente post…..
Oh my baby how beautiful you are
Oh my darling completely torn apart