Tecnología

Descubren vulnerabilidad crítica de Android que permite ataques remotos

Publicado

Hace 7 años

17 noviembre, 2019

Por

Pedro Mayorga

Descubren vulnerabilidad crítica de Android que permite ataques remotos

Foto: fuentes.

Los investigadores descubrieron una nueva vulnerabilidad crítica de Android que puede permitir a los atacantes realizar la ejecución remota de código en un dispositivo Android vulnerable y tomar el control de él.

La vulnerabilidad reside en la forma en la que Android entrega la configuración automática de proxy (PAC), en forma de un archivo que define cómo los navegadores web y otras apps pueden elegir automáticamente un servidor proxy apropiado para sus comunicaciones.

El sistema operativo Android, usa una biblioteca llamada libpac la cual le permite analizar el lenguaje Javascript.

『this vulnerability occurs because of the improper initialization of an object that provides methods for ArrayBuffer objects in V8.』

CVE-2019-2205
NowSecure Discovers Critical Android Vuln That May Lead to Remote Code Executionhttps://t.co/VgTBX03yfi pic.twitter.com/7awgzvmMpO

— Autumn Good (@autumn_good_35) November 15, 2019

Configuración Automática de Proxy (PAC)

El archivo Libpac usa un motor de búsqueda basado en Javascript de la versión 8 de Android o sus predecesoras, lo que la hace vulnerable a ataques, tal como se ha demostrado recientemente; provocando el bloqueo del servicio PacProcessor en teléfonos no actualizados.

Los investigadores explican que «el bloqueo no fue causado por un problema en el Javascript de la V8, sino que se debió a un problema con las asignaciones de recursos»; en este caso de la función PAC, encargada de encontrar el servidor proxy apropiado para la comunicación de datos.

Se puede acceder a la configuración de la función PAC en Android, a través del ícono de la red wifi actual -> editando la configuración avanzada -> seleccionando «Proxy Auto-Config» en el menú desplegable de proxy.

Austin Emmitt, un investigador de seguridad de NowSecure encontró esta vulnerabilidad en julio de 2019; e informó a Google y se confirmó como de gravedad «crítica».

Detalles de vulnerabilidad

Austin encontró manualmente la vulnerabilidad en Android con la ayuda de algunas herramientas y trucos. La vulnerabilidad se produce debido a la inicialización incorrecta de un objeto que proporciona métodos para los recursos que usa la V8.

“El atacante que controla la secuencia de comandos PAC tiene la capacidad de manipular las URL que se pasan a la función necesaria para encontrar el servidor proxy y redirigir el tráfico del móvil a su antojo», dijo Austin Emmitt a través de una publicación en su blog sobre ciberseguridad.

La vulnerabilidad puede ser explotada remotamente por el atacante de dos maneras diferentes.

1. Filtrando una dirección URL a la memoria ejecutable

2. Enviando secuencias de datos destinadas garantizar que se ejecuten los servicios controlados por el atacante.

El investigador cree que el gadget RET (una secuencia de instrucciones; contenida en todas las versiones de Android), le daría al atacante una poderosa pero primitiva herramienta de lectura y escritura»; lo cual según Emmitt es suficiente para causar un gran daño a cualquier móvil intervenido.

Critical Vulnerability in Android Phone Let Hackers Execute an Arbitrary Code Remotely: Researchers discovered a new Critical Android vulnerability that may allow attackers to perform remote code execution on a vulnerable Android device and to take… https://t.co/6LmMUZsoNF pic.twitter.com/dvp6O2lV5H

— Shah Sheikh (@shah_sheikh) November 17, 2019

Con información de: ACN|NowSecure|Gbhackers|Redes

No dejes de leer: Resurge el Motorola Razr como un smarthphone Android plegable (+Video)

La UE dio luz verde a su proyecto de defensa de misiles hipersónicos

Motorola recuerda su clásico con el nuevo equipo «Razr»

Tecnología

Team Codepeques se corona bicampeón en la Copa KA’I 2026

Publicado

6 horas ago

23 junio, 2026

Gabriela Suniaga

El Team Codepeques obtuvo una destacada participación en la Copa KA’I 2026, celebrada en Maracaibo, estado Zulia, donde alcanzó múltiples reconocimientos en una de las competencias de robótica y programación más importantes del país.

El equipo, proveniente del estado Carabobo, sobresalió tanto en el desempeño en cancha como en innovación, estrategia y presencia digital, consolidándose como uno de los referentes juveniles del ecosistema FIRST en Venezuela.

Entre los premios obtenidos se encuentran el Compañero Alianza Ganadora, que les otorga el bicampeonato en alianza con el Team Electrosharks; el Social Media Award, por el impacto del mensaje y los valores de la Copa KA’I y FIRST Tech Challenge en medios digitales; el Innovate Award, que reconoce el diseño y creatividad del robot; y el Grand Challenge Award, al alcanzar la segunda posición del ranking general.

Carlos Aguilera, director de Codepeques, expresó que estos logros son el resultado de un trabajo constante y profundamente comprometido.

Señaló que están muy orgullosos del desempeño del equipo, siempre enfocado en sacar su máximo potencial.

Explicó que en Codepeques existe una filosofía de excelencia que implica asumir cada reto con seriedad y dedicación. Afirmó que este tipo de resultados requiere muchas horas de estudio en las materias que imparten en la escuela, así como el desarrollo de habilidades blandas y una disciplina que ha sido clave para alcanzar nuevamente el bicampeonato.

Aguilera destacó que, aunque la esencia de la Copa KA’I es que los niños y jóvenes conecten con la tecnología y disfruten la experiencia, también es una competencia que exige preparación.

Recordó que Codepeques es una escuela de tecnología en la cual los alumnos estudian programación, diseño digital, inteligencia artificial y modelado 3D, y que una vez que deciden participar, la preparación se vuelve intensa, planificada y dividida por fases.

Añadió que, además de competir, se les inculca a los estudiantes la importancia de apoyar, inspirar y conectar con otros equipos, porque la competencia también es un espacio para fortalecer relaciones y construir comunidad.

El director explicó que durante meses estuvieron diseñando un robot, al que llamaron Solaris, ajustado al reto, creando estrategias, captando recursos económicos y conociendo a los otros equipos y sus robots.

Considera que esa combinación de preparación técnica, análisis y estrategia es la clave principal para conseguir más puntos en cancha y, como consecuencia, alcanzar nuevamente el campeonato.

El driver coach, Diego Aguilar, resaltó la dimensión humana de la experiencia. Describió la competencia como algo hermoso, especialmente por la interacción entre los equipos y el sentimiento de comunidad que se vive en la Copa KA’I.

Comentó que la pasión por la tecnología y el deseo de ayudar a otros equipos es algo que marca profundamente a cualquier participante.

Aseguró que, aunque se trata de una competencia, cada parte del evento es divertida y enriquecedora, y que se aprenden tanto habilidades técnicas como habilidades blandas que resultan valiosas para cualquier joven que sienta pasión por la tecnología.

El mentor Guillermo Uzcátegui señaló que, tras estos logros, ahora corresponde prepararse para la nueva temporada.

Explicó que el anuncio de la Copa KA’I dentro de la temporada regular de FIRST, con la posibilidad de asistir a competencias internacionales, los motiva a mejorar y asumir nuevos retos.

También destacó que uno de los objetivos es que la comunidad FIRST crezca en otros rincones del país, inspirando a más equipos y promoviendo valores como descubrimiento, innovación, impacto, inclusión, trabajo en equipo y diversión.

Uzcátegui agregó que los integrantes del equipo tendrán un espacio de reconocimiento por todo el trabajo realizado antes y durante la competencia, para luego tomar un merecido descanso y afrontar la próxima temporada con la energía que caracteriza al Team Codepeques.

Codepeques bicampeón