La última moda en aplicaciones móviles se llama WhatsApp, una App que cada vez se hace más popular y está redefiniendo el sistema de mensajería SMS. ¿Que qué nos ofrece? Un servicio mucho más completo, mejor y de momento gratuito.

La “pega” es que necesitamos Internet para poder comunicarnos, y que tanto emisores como receptores deben tener la aplicación, la cual funciona por ahora en iPhone, Android, BlackBerry y Nokia Symbian. Por cierto, para los usuarios de iPod Touch hay opción de utilizarla, pero tendrán que descargarla desde sitios alternativos y tener el sistema con Jailbreak, ya que en la AppStore ha desaparecido para ellos.

Mario Ballano, investigador de Symantec, ha publicado una nueva técnica que podría ser utilizada por otros programas para “secuestrar”
privilegios de otras aplicaciones en Android.

En verano de 2010, HD Moore destapó un problema de seguridad en decenas de aplicaciones de terceros cuando eran ejecutadas sobre Windows. Aunque la raíz del problema era, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft publicó un aviso de seguridad con instrucciones para mitigar el fallo. El problema estaba en múltiples aplicaciones de terceros (y propias) para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a “encontrar” primero las librerías de los atacantes y ejecutarlas. Al principio Moore identificó unas cuarenta aplicaciones, pero poco a poco el número comenzó a crecer. El DLL Hijacking obligó a la actualización de cientos de aplicaciones y otras tantas que nunca fueron corregidas.

La técnica descubierta en Android es similar a este “DLL Hijacking” y tampoco es un problema específico del sistema operativo, sino de si la aplicación gestiona incorrectamente la procedencia de sus dependencias.
Así, para aprovecharla, sería necesario encontrar una aplicación vulnerable instalada en el teléfono y hacer que cargue librerías o plugins del atacante en vez de los suyos legítimos. Para ello, primero estas librerías deben estar localizadas en un punto donde todos puedan escribir para que sean reemplazadas. Por ejemplo, la tarjeta SD del teléfono.

Android ofrece dos clases, DexClassLoader y PathClassLoader para cargar código dinámicamente. La primera API optimiza un código y devuelve el resultado en la variable dexOutputDir, que muchos desarrolladores e incluso documentación de Android, definen como la tarjeta SD. En ella puede escribir cualquiera. Así que un atacante simplemente tendría que reemplazar ese código, y la aplicación lo cargaría creyendo que es el suyo. El atacante heredaría sus permisos.

PathClassLoader tiene un problema parecido con su parámetro libPath.
Android irá a buscar librerías de sistema donde diga este valor, y muchos programadores lo establecen a la ruta de la tarjeta SD. Sin embargo esto no funcionará en ningún caso, puesto que se monta por defecto con permisos de no ejecución. Lo curioso es que se han encontrado varias aplicaciones en el Marketplace que lo intentan.

Lo ideal entonces, es que el desarrollador se preocupe de que todos los archivos son emplazados y cargados desde lugares seguros, (nunca la tarjeta SD). Desde Symantec han contactado con Google para que al menos, en la documentación oficial, se mencione este potencial problema.

Más información:
Android Class Loading Hijacking

http://www.symantec.com/connect/blogs/android-class-loading-hijacking

Fuente: www.hispasec.com

Hoy Nokia anunció los pasos que tomará en vías de su “gran cambio.” Uno de ellos será mover un total de 3000 desarrolladores del sistema Symbian a una compañía de outsourcing llamada Accenture. Además de ello, también despediría 4000 empleados alrededor de las sucursales de Nokia en todo el mundo, los cuales serían incorporados en un programa de responsabilidad social por parte de Nokia.

Accenture en una enorme compañía de consultoría, servicios tecnológicos y outsourcing, la cual se encargaría de la tarea de desarrollar el sistema Symbian. Nokia no planea darle fin a este sistema, pues tiene en sus planes producir más de 150 millones de dispositivos Symbian en los años venideros. Esta medida más bien iría de acuerdo con su orientación a dedicarse al sistema Windows Phone de Microsoft, después de la alianza estratégica que realizó Nokia con Microsoft.

Por otro lado, los 4000 trabajadores de Nokia serán retirados de sus responsabilidades laborales actuales para fines del 2012. Nokia dice que los ayudará mediante un programa de responsabilidad social para encontrarles nuevas ocupaciones, ya sea dentro de la misma compañía ó en compañías aliadas, ó sino ayudándoles a empezar su propio negocio o continuar estudios en otras compañías.

Fuente: Tecnologia21.com