Connect with us

Ciencia y tecnología

Investigador usa el exploit Dirty Pipe para rootear completamente Pixel 6 Pro y Samsung S22

Published

2 años ago

on

Investigador usa el exploit Dirty Pipe para rootear completamente Pixel 6 Pro y Samsung S22

Un investigador usó con éxito la vulnerabilidad crítica Dirty Pipe de Linux para rootear por completo dos modelos de teléfonos Android, un Pixel 6 Pro y un Samsung S22, en un truco que demuestra el poder de explotar la falla del sistema operativo descubierta recientemente.

El investigador eligió estos dos modelos de teléfonos por una buena razón: son dos de los pocos, si no los únicos, dispositivos que se sabe que ejecutan la versión 5.10.43 de Android, la única versión del sistema operativo móvil de Google vulnerable a Dirty Pipe. Dado que la vulnerabilidad LPE, o Local Privilege Escalation, solo se introdujo con la versión 5.8 del kernel de Linux lanzada recientemente, el universo de dispositivos explotables, ya sean móviles, Internet de las cosas o servidores y computadoras de escritorio, es relativamente pequeño.

He aquí, un shell inverso con privilegios de root

Pero para los dispositivos que incluyen versiones afectadas del kernel de Linux, Dirty Pipe ofrece a los piratas informáticos, ya sean benignos o maliciosos, una plataforma para eludir los controles de seguridad normales y obtener un control total de la raíz. A partir de ahí, una aplicación maliciosa podría robar subrepticiamente credenciales de autenticación, fotos, archivos, mensajes y otros datos confidenciales. Como yo reportado la semana pasadaDirty Pipe ha estado entre las amenazas de Linux más graves que se han revelado desde 2016, cuando se descubrió otra falla de Linux muy grave y fácil de explotar llamada Dirty Cow.

Android utiliza mecanismos de seguridad como SELinux y sandboxing, que a menudo hacen que las hazañas sean difíciles, si no imposibles. A pesar del desafío, el enrutamiento exitoso de Android muestra que Dirty Pipe es un vector de ataque viable contra dispositivos vulnerables.

READ  ACE / MPA llama a Cloudflare para desenmascarar a los operadores de dos docenas de sitios piratas * TorrentFreak

«Es emocionante porque la mayoría de las vulnerabilidades del kernel de Linux no serán útiles para explotar Android». valentina palmiotti, investigador principal de seguridad de la firma de seguridad Grapl, dijo en una entrevista. El exploit «es notable porque solo ha habido unos pocos LPE públicos de Android en los últimos años (compárelo con iOS, donde ha habido tantos). Sin embargo, dado que solo funciona con kernels 5.8 y superiores, está limitado a los dos dispositivos que vi en la demostración».

En un demostración de vídeo publicado en Twitter, un investigador de seguridad que pidió ser identificado solo por su cuenta de Twitter fuego30 ejecuta una aplicación personalizada que escribió, primero en un Pixel 6 Pro y luego en un Samsung S22. En cuestión de segundos, se abre un shell inverso que otorga acceso completo a la raíz en una computadora conectada a la misma red Wi-Fi. A partir de ahí, Fire30 tiene la capacidad de anular la mayoría de las protecciones de seguridad integradas de Android.

La raíz resultante está atada, lo que significa que no puede sobrevivir a un reinicio. Eso significa que los aficionados que quieran rootear sus dispositivos para tener funciones que normalmente no están disponibles tendrían que realizar el procedimiento cada vez que se enciende el teléfono, un requisito poco atractivo para muchos aficionados al rooteo. Los investigadores, sin embargo, pueden encontrar la técnica más valiosa, ya que les permite hacer diagnósticos que de otro modo no serían posibles.

Pero quizás el grupo más interesado sea el de las personas que intentan instalar productos maliciosos. Como muestra el video, los ataques pueden ser rápidos y sigilosos. Todo lo que se requiere es acceso local al dispositivo, generalmente en forma de una aplicación maliciosa. Aunque el universo de dispositivos vulnerables es relativamente pequeño, no hay duda de que Dirty Pipe podría usarse para comprometerlo por completo.

READ  Ejecutivos de Apple hablan de la isla dinámica del iPhone 14 Pro en una nueva entrevista

«Este es un exploit altamente confiable que funcionará sin personalización en todos los sistemas vulnerables», escribió Christoph Hebeisen, jefe de investigación de seguridad del proveedor de seguridad móvil Lookout, en un correo electrónico. «Esto lo convierte en un exploit muy atractivo para que lo usen los atacantes. Espero que aparezcan versiones armadas del exploit y se utilicen como el exploit preferido cuando se encuentre un dispositivo vulnerable, ya que el exploit es confiable. Se incluirán en las herramientas de enraizamiento para los usuarios que enraizan sus propios dispositivos».

También es lógico que otros tipos de dispositivos que ejecutan versiones vulnerables de Linux también se puedan rootear fácilmente con Dirty Pipe. El lunes, el fabricante de dispositivos de almacenamiento QNAP dijo que algunos de sus dispositivos NAS están afectados por la vulnerabilidad y que los ingenieros de la compañía están investigando precisamente cómo. Actualmente, QNAP no tiene mitigaciones disponibles y recomienda a los usuarios verificar e instalar actualizaciones de seguridad tan pronto como estén disponibles.

Related Topics:

Soy un profesional de gestión deportiva con conocimientos adecuados sobre la industria del deporte en España. Tengo varias habilidades que me han ayudado a trabajar en diferentes sectores del deporte en España, incluyendo eventos deportivos, desarrollo de base para el deporte e infraestructura deportiva.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ciencia y tecnología

Tim Cook adelanta el próximo gran accesorio para iPad para el evento Let Loose

Published

2 horas ago

on

abril 25, 2024

By

Tim Cook adelanta el próximo gran accesorio para iPad para el evento Let Loose

Apple acaba de anunciar su próximo gran evento, al que la compañía ha llamado Let Loose, y todo apunta a que los nuevos modelos de iPad serán el principal anuncio de la feria del 7 de mayo. Pero Tim Cook se lanzó a la plataforma de redes sociales para provocar un nuevo accesorio para iPad: una nueva versión del Apple Pencil.

En su mensaje, el CEO de Apple nos pidió «¡designarnos para el 7 de mayo!». »con un emoji de lápiz después. También hay un vídeo que comienza con una mano sosteniendo un lápiz blanco. Luego pasa a varias interpretaciones artísticas del logo de Apple dibujado en lo que podría ser la pantalla de un iPad. Esto termina con el lápiz óptico volviendo a caer en la mano digital.

Continue Reading

Ciencia y tecnología

WhatsApp ahora está implementando soporte de contraseñas para usuarios de iPhone

Published

10 horas ago

on

abril 25, 2024

By

WhatsApp ahora está implementando soporte de contraseñas para usuarios de iPhone

WhatsApp ha estado probando internamente la compatibilidad con contraseñas en su aplicación para iPhone durante algún tiempo. Sin embargo, esta opción todavía no estaba disponible para la mayoría de los usuarios. Pero eso parece estar cambiando ahora, ya que Meta está implementando lentamente la opción de contraseña para los usuarios de WhatsApp en iPhone con la última versión de la aplicación.

Los usuarios de WhatsApp en iPhone ahora pueden habilitar el código de acceso

Como se ha señalado EngadgetMeta ahora ha confirmado que los usuarios de iPhone también tendrán la opción de habilitar un código de acceso para proteger su cuenta de WhatsApp. La función se presentó por primera vez a los usuarios de Android en octubre del año pasado. Según Meta, la función debería estar disponible para todos los usuarios de WhatsApp en las próximas semanas.

“La verificación de contraseña hará que volver a conectarse a WhatsApp sea más fácil y seguro. Estamos entusiasmados de lanzar esto en WhatsApp y brindar a los usuarios una capa adicional de seguridad”, dijo en un comunicado Alice Newton-Rex, jefa de producto de WhatsApp.

Para habilitar la contraseña en su cuenta de WhatsApp, siga estos pasos:

  1. Abrir WhatsApp
  2. Ir a configuraciones
  3. Grifo Cuenta
  4. Elegir Palabras clave
  5. Grifo crear una contraseña
  6. Confirmar con identificación facial O Identificación táctil

Más información sobre contraseñas

Passkey es una tecnología desarrollada por FIDO Alliance en colaboración con importantes empresas como Apple, Google y Microsoft. En lugar de las contraseñas tradicionales, permite a los usuarios iniciar sesión utilizando métodos seguros como el reconocimiento facial o la biometría, eliminando la necesidad de crear e ingresar una contraseña.

READ  El modo oscuro de Google se está volviendo más oscuro

Aunque Apple introdujo soporte para contraseñas con iOS 16, la integración con aplicaciones de terceros no se agregó hasta iOS 17. Se puede sincronizar una contraseña a través de iCloud Keychain o un administrador de contraseñas compatible como 1Password.

FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.

Continue Reading

Ciencia y tecnología

“Creo en deambular” para aumentar la productividad

Published

18 horas ago

on

abril 24, 2024

By

“Creo en deambular” para aumentar la productividad

Jeff Bezos no sobrecarga su agenda ni establece horarios estrictos para todas sus reuniones.

En cambio, el fundador de Amazon y Blue Origin, de 60 años, actualmente la segunda persona más rica del mundo, según Forbes — le brinda a usted y a sus equipos suficiente tiempo para pensar creativamente, dijo el “Podcast de Lex Fridman”.

“No sigo un calendario estricto”, dijo Bezos en un episodio transmitido por primera vez en diciembre de 2023. “Mis reuniones suelen durar más de lo esperado porque creo en [mind] errante.»

Por ejemplo, Bezos se toma tiempo durante las reuniones para que las personas intercambien ideas, sin importar cuán pequeñas o espontáneas puedan ser, dijo, un proceso que llamó una «reunión desordenada». Estas sesiones generalmente no tienen una hora de finalización fija, añadió.

«Cuando me siento [in] reunión, no sé cuánto tiempo va a tomar la reunión si estamos tratando de resolver un problema», dijo Bezos. «La realidad es que es posible que tengamos que deambular durante mucho tiempo… Creo que ciertamente no hay nada Es más divertido que sentarse frente a una pizarra con un grupo de gente inteligente, escupiendo y proponiendo nuevas ideas y objeciones a esas ideas, luego soluciones a las objeciones y yendo y viniendo.

Añadió que «mucha gente siente que deambular es ineficaz», pero estudios muestran que una mente divergente puede en realidad aumentar la productividad, la creatividad y la felicidad de una persona.

La mente errante contra el bloqueo del tiempo

Algunos expertos en productividad confían en ello Método de bloqueo de tiempo, que implica bloquear períodos de tiempo específicos en su calendario para cada tarea que necesita completar cada día, a veces incluso incluye pausas para comer y charlas de café.

READ  Tipster filtra "especificaciones clave" para la serie 5G Galaxy S22

Pero esta estrategia puede dejarte estresado y agotado, dijo Laurie Santos, profesora de psicología en la Universidad de Yale, a los asistentes al SXSW en marzo. Mientras tanto, un estudio 2016 Más de 200 estudiantes descubrieron que su creatividad mejoraba significativamente cuando dejaban vagar sus mentes.

Si usted es el tipo de persona que se siente abrumada por una agenda ocupada, programar tiempo para dejar que su mente divague podría ayudarlo a generar ideas que tal vez no habría considerado en una agenda más estructurada, siempre que lo haga de manera efectiva en lugar de hacerlo. . simplemente distráigase, psicóloga Jill Suttie a escrito para la revista “Greater Good” de la Universidad de California en Berkeley en 2018.

Cuando surja un problema en su lugar de trabajo o escuela, tómese un tiempo lejos de cualquier distracción (como su teléfono o una serie de correos electrónicos no leídos) e intente encontrar una variedad de soluciones, grandes y pequeñas, y luego rechacelas. sus colegas para completarlos, escribió Suttie. Puede parecer contradictorio, pero tomar un descanso de su rutina de trabajo para dejar que su mente divague a veces puede ser la forma más efectiva de resolver un problema que de otro modo lo dejaría estancado.

«En las circunstancias adecuadas, una mente errante puede ser beneficiosa para nosotros y quizás para quienes nos rodean», escribió Suttie. «El truco está en saber cuándo liberar la mente».

El enfoque de Bezos ante la distracción mental

Bezos deja que su mente divague para considerar los pros y los contras de sus propias ideas. Una vez que sobreviven a su propio “primer nivel de revisión”, los presenta a otros para que realicen una lluvia de ideas productiva en grupo para ayudar a que la idea tome forma.

Para Bezos, esta “intuición” inicial es un punto de partida que puede conducir a una mayor exploración con otras personas. Los resultados pueden ser tanto “divertidos” como productivos, a medida que trabajan juntos para encontrar una posible solución creativa y descubrir cómo hacer que funcione en la realidad, dijo.

«A menudo digo: 'Mira, será muy fácil para ti encontrar objeciones a esta idea, pero trabaja conmigo…'», le dijo Bezos a Fridman. «Porque es muy fácil eliminar nuevas ideas desde el principio. Así que hay que advertir a la gente y decir: 'Sé que va a requerir mucho trabajo llegar a una idea completamente formada. Comencemos con eso'». Va a ser divertido.'»

¿Quieres ganar dinero extra fuera de tu trabajo diario? Regístrese para Nuevo curso en línea de CNBC Cómo obtener ingresos pasivos en línea para obtener más información sobre fuentes de ingresos pasivas comunes, consejos para comenzar e historias de éxito de la vida real.

Más, suscríbase al boletín informativo Make It de CNBC Para obtener consejos y trucos para tener éxito en el trabajo, con el dinero y en la vida.

Continue Reading

Trending