El otro navegador secreto de Google

 (matan-h.com)
2 puntos por GN⁺ 2024-02-03 | 1 comentarios | Compartir por WhatsApp

Descubren otro navegador secreto dentro de Google Play Services

  • Hay un navegador secreto oculto dentro de Google Play Services.
  • Se puede acceder a este navegador mediante un enlace y puede eludir los controles parentales habituales de Google y el "modo de bloqueo".
  • También se descubrió un método similar para eludir la fijación de pantalla de Android a través de la app de Contactos.

¿Cómo se accede?

  • Entra en la app de Contactos y agrega un nuevo contacto o edita uno existente.
  • Haz clic en "Agregar campo" y en el campo "Sitio web" ingresa "https://gds.google.com/gmsdrops"; y guarda.
  • Al tocar el enlace del contacto guardado, se puede acceder al navegador secreto dentro de la app de Google Play Services.

¿Por qué funciona este método?

  • En el modo de bloqueo, Google bloquea todas las apps, pero Google Play Services y la app de Contactos son excepciones.
  • "https://gds.google.com/gmsdrops"; es un deep link hacia la sección de "Novedades" de Android.
  • Los controles parentales no pueden abrir deep links, pero sí se puede abrir el enlace desde la app de Contactos.

Eludir la fijación de pantalla

  • En Android 11 o superior, se puede usar la función de fijación de pantalla para restringir el uso a una sola app específica.
  • Como en el estado de fijación de pantalla no se pueden abrir apps nuevas, no se puede usar el mismo enlace que antes, pero sí un deep link de Google Podcasts que se abre en una ventana emergente.

La respuesta de Google

  • Se informó a Google sobre la elusión de controles parentales y de la fijación de pantalla de Android.
  • Google trató el problema de los controles parentales junto con el de la elusión de fijación de pantalla y "olvidó" el caso duplicado.
  • Google respondió que la elusión de la fijación de pantalla era un comportamiento intencional.

Opinión de GN⁺:

  • Este artículo es importante porque da a conocer métodos para eludir los controles parentales y la fijación de pantalla mediante un navegador oculto dentro de Google Play Services, lo que ayuda a aumentar la conciencia sobre vulnerabilidades de seguridad.
  • Con esta información, los usuarios pueden comprender mejor las funciones de control parental y privacidad, y reforzar sus medidas de seguridad si es necesario.
  • La respuesta de Google refleja su enfoque y prioridades frente a estas vulnerabilidades, y ofrece retroalimentación importante para usuarios e investigadores de seguridad.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-02-03
Opiniones en Hacker News

  • Historia de una terminal de computadora con navegador de sitio único instalada en el lobby de un banco durante la infancia

    Cuando era niño, los bancos e instituciones similares solían tener en el lobby terminales con un navegador especial que solo permitía ver un único sitio. Era la época en que estaban de moda las insignias de 'Best Viewed In'. Cada vez que iba a hacer mandados con mis padres, buscaba una de esas computadoras y hacía clic en la insignia de 'Best Viewed In' para saltarme la restricción e ir a sitios como netscape.com; desde ahí encontraba enlaces a motores de búsqueda y podía navegar libremente por la web.

  • El equipo que gestiona los reportes de vulnerabilidades de seguridad no debe deslindarse de la responsabilidad señalando a equipos internos

    El equipo que recibe reportes de vulnerabilidades de seguridad no debería decir "eso le corresponde a otro equipo interno, pregúntales a ellos". En realidad, casi cualquier empleado dentro de una organización, si recibe un reporte de vulnerabilidad creíble, debería hacerlo llegar a la persona adecuada. No es un asunto que deba ignorarse.

  • El control parental de Google es deficiente

    El control parental de Google necesita mejorar. Hace tiempo que se pide una función para desactivar la app de Play Store, pero sigue siendo imposible hacerlo sin usar adb, y usar adb trae otros problemas. No parece que lo hayan probado con niños de verdad. Por ejemplo, era fácil saltarse el límite de tiempo de YouTube buscando en Play Store una app con capturas que incluyeran video y entrando a YouTube desde ahí. De hecho, fue el hijo del autor quien descubrió y mostró este método.

  • Hace recordar un truco de hackeo para saltarse la pantalla de inicio de sesión de Windows 98

    Esto hace recordar un truco de hackeo para saltarse la pantalla de inicio de sesión de Windows 98. No esperaba que Google llegara a estar tan mal en el diseño de sistemas como Windows 98.

  • Recuerdo de la primera experiencia explorando el interior de los sistemas informáticos y “hackeando”

    Influyeron en decidir una carrera en IT e ingeniería cosas como haber infectado la computadora familiar con un troyano y tener que arreglarlo antes de que mi padre llegara a casa, o encontrar maneras de esquivar controles parentales como NetNanny que mis padres decidieron instalar de repente después de varios años de uso de internet. Así fue como conocí los live CD de Linux y Linux. Me entero de que los hackers de hoy siguen recibiendo esa misma formación.

  • Información relacionada sobre un navegador secreto oculto dentro de la configuración de Google

    Hay información sobre un navegador secreto oculto dentro de la configuración de Google. En junio de 2023 hubo una discusión en Hacker News con 312 comentarios.

  • El hecho de que Google Play Services pueda otorgarse nuevos permisos a sí mismo

    Se dice que Google Play Services puede otorgarse nuevos permisos a sí mismo. Esto plantea dudas sobre cómo funciona y si tiene privilegios de root.

  • En GrapheneOS, Play Services en sandbox no se ve afectado

    En GrapheneOS, Play Services en sandbox no se ve afectado, y la app de teléfono no puede ver URL web en los contactos, mientras que la app de contactos no puede abrir en modo fijado las dos URL presentadas en el artículo.

  • Si te interesan las discusiones anteriores a 2023

    Se ofrece un enlace para quienes estén interesados en la discusión anterior de 2023. Esa discusión tuvo 312 comentarios.