Si ShellShock afecta a Linux y Android se basa en Linux... ¿por qué todavía no has actualizado bash en tu móvil?

Después de más de dos décadas, Bash sigue siendo comúnmente usado en Unix, Mac OS X, Linux y... por supuesto Android, nuestro nuestro SO favorito para el móvil, también lo ha heredado.

Mientras que en los sistemas operativos de escritorio Bash se ha actualizado casi "de inmediato", la versión de Android sigue estando sin parchear. Si no quieres que tu smartphone sea vulnerable, puedes descargar tanto la versión actualizada como la preparada por 3lo0sh del foro XDA. Esta versión está parcheada y es, por supuesto, de código abierto, por lo que puedes verificar el código por tu cuenta. El Bash parcheado trabajará con todos los dispositivos ARM con Android, es decir, con la gran mayoría de los teléfonos liberados hasta el momento.

Para instalar el parche en tu dispositivo tiene que estar rooteado. El binario descargado necesita ser puesto en /system/xbin y luego hacerlo ejecutarble en Terminal a través de shell ADB. Esto puede hacerse siguiendo unos comandos muy simples mostrados en el hilo:  


http://forum.xda-developers.com/android/software-hacking/dev-lastest-bash-android-t2898295

6 comentarios :

  1. O_O Pues tienes razón... Ni había caido

    ResponderEliminar
  2. y si no tenemos rooteado el telefono?

    ResponderEliminar
  3. "Rootear" el teléfono no es aconsejable, o me equivoco? :)

    ResponderEliminar
    Respuestas
    1. rootear el teléfono en mi caso no sólo es aconsejable si no imprescindible por las aplicaciones que utilizo... No obstante hoy en día existen herramientas para controlar el uso de privilegios de root del resto de aplicaciones. Eso sí, rootear por rootear si no se va a utilizar no es recomendable... :)

      Eliminar
  4. Cómo se podria explotar esta vulnerabilidad en un móvil? Por un APK? Y si se explota hasta donde se podría llegar, entiendo que el acceso tras la explotación seria similar a la de un usuario de bajos privilegios.

    No sé hasta que punto este parchado sería una medida paranoica, sobre todo cuando para hacerlo debes ser root!

    Saludos y gracias por tan buenas entradas!!
    Saludos.

    ResponderEliminar
    Respuestas
    1. pues es un vector de ataque de shellshock que vamos a estudiar... a ver si podemos publicar algo :)

      Saludos y gracias a ti por comentar!

      Eliminar