aplicaciones para dispositivo m viles
Páginas: 2 (380 palabras)
Publicado: 17 de abril de 2015
La interfaz gráfica del usuario en aplicaciones para dispositivo móviles siempre ha sido una preocupación para los especialistas en seguridad digital, y hasta el momento no se creía que podría serexplotada por otra aplicación sin privilegios especiales en segundo plano– pero todo indica que eso ha cambiado.
Se trata de un side channel attack (ataque “canal secundario”), que explota laposibilidad de comunicación entre aplicaciones a través de un puerto público que hasta poco tiempo atrás no era conocido. En otras palabras, este ataque no se da con fuerza bruta ni explotandovulnerabilidades.
Este nuevo ataque ha sido nombrado UI state inference attack (Ataque por inferencia a la interfaz del usuario), se trata de una técnica que se aprovecha del hecho que las interfaces de lasaplicaciones más populares para dispositivos móviles revelan cada cambio de estado, es decir, cada paso (iniciar aplicación, ingresar usuario y contraseña, ingresar datos de tarjeta de crédito, entre otras) esvisible y puede ser interceptado por estas aplicaciones espías.
El ataque es iniciado cuando un usuario baja una aplicación que parece ser legítima y que no pide privilegios especiales. Una vezinstalada, el atacante (a través de un dispositivo móvil)puede observar el momento en que la víctima inicia una aplicación específica (Internet Banking, sitios de compra, cámara de fotos, entre otras), ytambién cuando ingresa datos personales, los datos de entrega del producto comprado y/o cualquier información solicitada por las aplicaciones.
Zhiyun Qian, del Departamento de Ciencias e Ingeniería dela Computación de la Universidad de California (UC Riverside, EE.UU), que forma parte del grupo de investigadores que descubrieron la brecha y desarrollaron la prueba de concepto, afirma: “Siempre sesupuso que aplicaciones no podrían interferir fácilmente con otras aplicaciones” y agrega “Demostramos que esta suposición no es correcta y que una aplicación de hecho tiene la habilidad de impactar...
Se trata de un side channel attack (ataque “canal secundario”), que explota laposibilidad de comunicación entre aplicaciones a través de un puerto público que hasta poco tiempo atrás no era conocido. En otras palabras, este ataque no se da con fuerza bruta ni explotandovulnerabilidades.
Este nuevo ataque ha sido nombrado UI state inference attack (Ataque por inferencia a la interfaz del usuario), se trata de una técnica que se aprovecha del hecho que las interfaces de lasaplicaciones más populares para dispositivos móviles revelan cada cambio de estado, es decir, cada paso (iniciar aplicación, ingresar usuario y contraseña, ingresar datos de tarjeta de crédito, entre otras) esvisible y puede ser interceptado por estas aplicaciones espías.
El ataque es iniciado cuando un usuario baja una aplicación que parece ser legítima y que no pide privilegios especiales. Una vezinstalada, el atacante (a través de un dispositivo móvil)puede observar el momento en que la víctima inicia una aplicación específica (Internet Banking, sitios de compra, cámara de fotos, entre otras), ytambién cuando ingresa datos personales, los datos de entrega del producto comprado y/o cualquier información solicitada por las aplicaciones.
Zhiyun Qian, del Departamento de Ciencias e Ingeniería dela Computación de la Universidad de California (UC Riverside, EE.UU), que forma parte del grupo de investigadores que descubrieron la brecha y desarrollaron la prueba de concepto, afirma: “Siempre sesupuso que aplicaciones no podrían interferir fácilmente con otras aplicaciones” y agrega “Demostramos que esta suposición no es correcta y que una aplicación de hecho tiene la habilidad de impactar...
Leer documento completo
Regístrate para leer el documento completo.