HOY SE HABLA DE

Cuidado: el nuevo cliente de Samba para Android podría poner en riesgo tu dispositivo [Actualizada]

Cuidado: el nuevo cliente de Samba para Android podría poner en riesgo tu dispositivo [Actualizada]
3 comentarios Facebook Twitter Flipboard E-mail
javier-pastor

Javier Pastor

Actualización (20/07/2017): Google ha modificado la aplicación para que haga uso del protocolo SMBv3, que no presenta los riesgos de seguridad de SMB1.

Esta semana nuestros compañeros de Xataka Android nos avisaban de la aparición de una nueva aplicación para la plataforma móvil de Google que permitía acceder a los archivos de nuestro PC de forma remota a través del protocolo SMB/CIFS cuya implementación más conocida es Samba.

Esta herramienta tiene un problema: en su lanzamiento solo el protocolo SMBv1 estaba disponible, y esta primera versión es conocida por haber sido aprovechada por los ransomware WannaCrypt y NotPetya. En el código de la herramienta, disponible en GitHub, parecen estar ya planteando soluciones, pero por el momento quizás no sea buena idea utilizarla.

Cuidado con SMB1

Ned Pyle, desarrollador en Microsoft, explicaba en AndroidPolice cómo esta herramienta hacía uso de código del cliente SMB1 que "no proporciona suficientes protecciones para ataques MitM (Man in the Middle) a no ser que se configure cuidadosamente con UNC hardening". De hecho, aquí este experto recomendaba "no usar ningún cliente SMB de ningún vendedor que solo soporte SMB1". Este desarrollador ya explicó en profundidad los problemas de esa antigua versión en un artículo en Microsoft TechNet.

El código fuente de la aplicación está disponible en GitHub como parte del repositorio de Google —lo que parece demostrar que efectivamente la herramienta proviene de sus desarrolladores—, y en ese código se explica que la aplicación está desarrollada partiendo de la base de Samba 4.5.1.

Las alertas parecen haber saltado también entre quienes han analizado esas prestaciones, porque ya hay al menos una petición de que en la configuración por defecto se haga uso de SMB2 en lugar de SMB1, y ese commit ya se ha aplicado a la herramienta, aunque en Google Play la versión disponible sigue siendo la 1.0 del pasado 5 de julio.

Nuestro consejo es que a menos que necesitéis la herramienta para un escenario específico de uso con SMB1 y sepáis los riesgos a los que os exponéis, esperéis a que dicha utilidad se actualice para hacer uso por defecto de SMB2, algo que permitiría reforzar la seguridad de esta aplicación de forma notable.

Vía | The Register
En Xataka Android | Cómo acceder a los archivos de tu PC desde Android con Android Samba Client

Temas
Comentarios cerrados

Ver 3 comentarios

Temas de interés
Subir

Tecnología

Videojuegos

Entretenimiento

Gastronomía

Estilo de vida

Latinoamérica

Inicio

Destacamos

Explora en nuestros medios