CUIDADO!! IMPORTANTE FALLO DE SEGURIDAD EN ANDROID 14 Y 13 DEJA TUS FOTOS, TU HISTORIAL DE NAVEGACIÓN, TUS CONTACTOS Y TODA LA INFORMACIÓN DE TU CUENTA DE GOOGLE VULNERABLES. PROTÉGETE!! DESINSTALA GOOGLE MAPS. Lee la descripción para mas información.
- hace 5 meses
GRAVE FALLO DE SEGURIDAD PUEDE ESTAR SIENDO EXPLOTADO, COMPARTE PARA EMPUJAR A GOOGLE A ARREGLARLO CUANTO ANTES Y PROTÉGETE DESINSTALANDO GOOGLE MAPS.
Esta vulnerabilidad permite esquivar la pantalla de bloqueo para ver tus fotos, tus contactos, tu historial de navegación y más, en Android 14 y 13. Prueba en tu móvil propio y alucina!!
Hace un par de meses publiqué en Twitter, en Reddit, en Telegram y en más sitios, un video preguntando si era posible hacer lo que mostraba aquel video pero estando el móvil bloqueado, abrir un enlace de Google Maps desde la pantalla de bloqueo, porque yo no lo conseguía, yo no lograba hacerlo con mi Pixel bloqueado. Recientemente descubrí que sí es posible, basta con insistir para esquivar la pantalla de bloqueo y acceder a la información del dispositivo; y como entonces incité a muchas personas a probar, es posible que más personas lo hayan logrado y estén aprovechando el fallo de seguridad. Por esto y porque Google conoce este problema desde hace más de seis meses y aún no tiene fecha para su arreglo, es por lo que me he decidido a publicarlo.
Los exploit que se muestran en el vídeo fueron reportados a Google empezando mayo, y terminado noviembre aún no había fecha prevista para una actualización de seguridad que los arregle.
La gravedad de estos exploits depende de que el usuario tenga instalado Google Maps y de su configuración, y si tiene activado el MODO de CONDUCCIÓN aumenta exponencialmente la gravedad del asunto.
Presenta dos niveles de gravedad:
1. Si el usuario NO tiene activado el MODO de CONDUCCIÓN: un atacante puede acceder a las ubicaciones recientes y favoritas (casa, trabajo..), también a los contactos, y compartir ubicación en tiempo real con contactos o con un correo electrónico que el atacante puede introducir manualmente.
2. Si el usuario SÍ tiene activado el MODO de CONDUCCIÓN: encadenando otro exploit, además de los accesos mencionados en el punto anterior, un atacante puede acceder a las fotos del dispositivo, para publicarlas o para añadirlas como imagen de perfil de la cuenta de Google, y también consigue acceso a una amplísima información y configuración de la cuenta o cuentas de Google, con posibilidad de conseguir acceso completo a la cuenta desde un segundo dispositivo y mucho más que aún está por investigar.
Por favor prueba en tu móvil propio y comenta tu experiencia, tu versión de Android y la marca y el modelo de tu dispositivo.
PD: Si mientras investigas, averiguando hasta dónde eres capaz de profundizar escarvando en el sistema del dispositivo objetivo, tocas algo que te lleva a la pantalla de bloqueo, para volver a donde mismo estabas, para recuperar el camino que habías recorrido, basta con escribir google[dot]com/maps donde el dispositivo te permita estando bloqueado y abrir el enlace.
Esta vulnerabilidad permite esquivar la pantalla de bloqueo para ver tus fotos, tus contactos, tu historial de navegación y más, en Android 14 y 13. Prueba en tu móvil propio y alucina!!
Hace un par de meses publiqué en Twitter, en Reddit, en Telegram y en más sitios, un video preguntando si era posible hacer lo que mostraba aquel video pero estando el móvil bloqueado, abrir un enlace de Google Maps desde la pantalla de bloqueo, porque yo no lo conseguía, yo no lograba hacerlo con mi Pixel bloqueado. Recientemente descubrí que sí es posible, basta con insistir para esquivar la pantalla de bloqueo y acceder a la información del dispositivo; y como entonces incité a muchas personas a probar, es posible que más personas lo hayan logrado y estén aprovechando el fallo de seguridad. Por esto y porque Google conoce este problema desde hace más de seis meses y aún no tiene fecha para su arreglo, es por lo que me he decidido a publicarlo.
Los exploit que se muestran en el vídeo fueron reportados a Google empezando mayo, y terminado noviembre aún no había fecha prevista para una actualización de seguridad que los arregle.
La gravedad de estos exploits depende de que el usuario tenga instalado Google Maps y de su configuración, y si tiene activado el MODO de CONDUCCIÓN aumenta exponencialmente la gravedad del asunto.
Presenta dos niveles de gravedad:
1. Si el usuario NO tiene activado el MODO de CONDUCCIÓN: un atacante puede acceder a las ubicaciones recientes y favoritas (casa, trabajo..), también a los contactos, y compartir ubicación en tiempo real con contactos o con un correo electrónico que el atacante puede introducir manualmente.
2. Si el usuario SÍ tiene activado el MODO de CONDUCCIÓN: encadenando otro exploit, además de los accesos mencionados en el punto anterior, un atacante puede acceder a las fotos del dispositivo, para publicarlas o para añadirlas como imagen de perfil de la cuenta de Google, y también consigue acceso a una amplísima información y configuración de la cuenta o cuentas de Google, con posibilidad de conseguir acceso completo a la cuenta desde un segundo dispositivo y mucho más que aún está por investigar.
Por favor prueba en tu móvil propio y comenta tu experiencia, tu versión de Android y la marca y el modelo de tu dispositivo.
PD: Si mientras investigas, averiguando hasta dónde eres capaz de profundizar escarvando en el sistema del dispositivo objetivo, tocas algo que te lleva a la pantalla de bloqueo, para volver a donde mismo estabas, para recuperar el camino que habías recorrido, basta con escribir google[dot]com/maps donde el dispositivo te permita estando bloqueado y abrir el enlace.